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为 依托 ,结合 目前 企业 对 网 络 安全 技术 的 需求 ,主要 介绍 了 以 下 内 容 : 网 络 
安全 概述 ;通信 协议 与 安全 ;数据 加 密 技 术 ; Windows Server 2003 的 安全 ; 
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全 技术 。 
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强 , 能 够 很 好 地 满足 读者 对 知识 和 技能 的 需求 。 
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网 络 安全 概述 


知识 目标 
。 理解 网 络 安全 的 定义 。 
。 掌握 网 络 面临 的 各 种 安全 威胁 。 
。 了 解 产生 网 络 安全 威胁 的 原因 。 
。 了解 计算 机 系统 的 安全 级 别 。 
技能 目标 
。 能 识别 网 络 威胁 的 类 别 。 
。 能 使 用 网 络 工具 对 计算 机 系统 进行 漏洞 扫描 。 
。 掌握 常用 DOS 命令 的 操作 方法 。 


随 着 网 络 技术 的 不 断 发 展 ,网 络 在 人 们 生活 中 已 经 占有 一 席 之 地 ,为 人 们 的 生活 带 来 
了 极 大 的 方便 。 然 而 ,网 络 也 不 是 完美 无 缺 的 , 它 在 给 人 们 带 来 惊喜 的 同时 ,也 带 来 了 威 
胁 。 计 算 机 犯罪 黑客 有 害 程序 和 后 门 等 问题 严重 威胁 着 网 络 的 安全 。 目 前 ,网 络 安 全 
问题 已 经 在 许多 国家 引起 了 普遍 关注 ,成 为 当今 网 络 技术 的 一 个 重要 研究 课题 。 


1.1 什么 是 网 络 安全 


目前 ,Internet 几乎 覆盖 了 世界 各 地 ,容纳 了 数 十 万 个 网 络 ,为 几 十 亿 用 户 提供 了 形 
式 多 样 的 网 络 与 信息 服务 。 除 了 广泛 应 用 的 Web 网 页 、E-mail、 新 闻 论 坛 等 文本 信息 的 
交流 与 传播 之 外 ,网 络 电话 、 网 络 传真 .视频 等 通信 技术 都 在 迅猛 地 发 展 。 在 信息 化 社会 
中 ,计算 机 网 络 将 在 政治 军事、 金融 .商业 交通、 电信、 文教 等 方面 发 挥 越 来 越 大 的 作用 。 
社会 对 网 络 的 依赖 日 益 增强 。 人 们 依靠 计算 机 网 络 系统 接收 和 处 理 信 息 , 实 现 相 互 间 的 
联系 和 对 目标 的 管理 ,控制 。 通 过 网 络 交流 信息 、 获 得 信息 已 成 为 现代 信息 社会 的 一 个 主 
要 特征 。 网 络 正 改变 着 人 们 的 工作 方式 和 生活 方式 。 

科技 进步 在 造福 人 类 的 同时 ,也 带 来 了 新 的 危害 。 随 着 网 络 的 开放 性 、 共 享 性 和 互联 
程度 的 扩大 ,特别 是 Internet 的 出 现 , 网 络 变 得 越 来 越 重 要 ,对 社会 的 影响 也 越 来 越 大 , 随 
之 而 来 的 是 利用 计算 机 网 络 犯罪 的 情况 越 来 越 严重 ,已 经 严重 地 危害 着 社会 的 发 展 和 国 
家 的 安全 。 
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1989 年 10 月 ,有 人 为 了 抗议 久 驱动 的 伽利略 探测 器 的 发 射 而 制造 WANK(Worms 
Against Nuclear Killers) 蠕 虫 人 侵 NASA( 美 国 宇航 局 ) ,这 是 历史 上 有 记载 的 第 一 次 系 
统 入 侵 ,造成 了 约 50 万 美元 的 损失 。 

1996 年 8 月 14 日 ,美国 发 生 一 起 计算 机 病毒 人 侵 计 算 机 网 络 的 事件 , 几 千 台 计 算 机 
被 病毒 感染 ,Internet 不 能 被 正常 访问 。 政 府 不 得 不 立即 做 出 反应 ,国防 部 成 立 了 计算 机 
快速 行动 小 组 。 这 次 病毒 事件 导致 的 直接 经 济 损失 超过 1 亿美 元 。 

1994 年 底 , 俄 罗斯 黑客 弗 拉 米尔 与 其 同伙 从 圣彼得堡 的 一 家 小 软件 公司 的 联网 计算 
机 上 向 美国 CITYBANK 银行 发 动 了 一 连 串 的 攻击 ,通过 电子 转账 方式 ,从 CITYBANK 
银行 在 纽约 的 计算 机 主机 里 窃取 了 1100 万 美元 。 

2000 年 1 月 ,一 个 昵称 为 Maxim 的 黑客 侵入 CDUniverse. com 购物 网 站 并 窃取 了 
30 万 份 信 用 卡 资料 。 

2003 年 3 月 21 日 ,黑客 侵入 了 江苏 某 信息 网 的 多 台 服 务 器 ,破译 了 密码 数据 库 , 获 
得 了 网 络 工 作 人 员 的 口令 和 300 多 个 合法 用 户 的 账号 与 密码 ,并 将 这 些 账 号 与 密码 公布 
手 兢 。 

2008 年 2 月 ,一 黑客 利用 无 线 刷卡 设备 的 漏洞 入 侵 了 美国 两 家 大 型 连锁 超市 
Hannaford 和 Sweetbay ,盗窃 了 1800 份 完整 信用 卡 资料 和 420 万 个 信用 卡 的 部 分 资料 。 

事实 上 ,以 上 这 些 网 络 和 人 侵 事 件 只 是 实际 发 生 的 网 络 信 侵 事件 中 非常 微小 的 一 部 分 ， 
有 相当 多 的 网 络 信 侵 或 攻击 并 没有 被 发 现 ,或 者 出 于 各 种 各 样 的 原因 未 被 公开 。 据 统计 ， 
商业 信息 被 窃取 的 事件 在 每 月 以 260% 的 速度 增加 。 社 会 上 每 公开 报道 一 次 网 络 入 侵 事 
件 的 背后 ,有 无 数 例 网 络 入 侵 事 件 是 不 被 公众 所 知 的 。 

面 对 越 来 越 严 重 的 计算 机 网 络 安全 的 威胁 ,必须 采取 措施 来 保证 计算 机 网 络 的 安全 。 
但 是 现 有 的 计算 机 网 络 大 多 数 在 设计 的 开始 都 忽略 了 安全 问题 。 即 使 考虑 了 安全 问题 ， 
大 部 分 都 是 把 安全 机 制 建 立 在 物理 安全 上 。 随 着 网 络 互联 程度 的 扩大 ,这 种 安全 机 制 对 
于 网 络 环境 来 讲 很 脆弱 。 同 时 ,目前 网 络 上 使 用 的 协议 ,如 TCP/IP 协议 ,在 制定 之 初 也 
没有 把 安全 考虑 在 内 ,所 以 网 络 协议 本 身 就 是 不 设防 的 ,TCP/IP 协议 中 存在 很 多 的 安全 
问题 ,不 能 满足 网 络 安全 的 要 求 。 另 外 ,网 络 的 开放 性 和 资源 共享 也 是 安全 问题 的 一 个 主 
要 根源 ,解决 这 个 问题 主要 依赖 于 加 密 、 网 络 用 户 身 份 鉴别 、 存 取 控 制 策 略 等 技术 手段 。 

一 个 安全 的 网 络 体 系 至 少 应 包括 三 类 措施 , 即 法 律 措施 、 技 术 措 施 、 政 策 措施 。 面 对 
危害 计算 机 网 络 安 全 的 种 种 威胁 ,仅仅 利用 物理 上 和 政策 上 的 手段 是 十 分 有 限 和 困难 的 ， 
因此 ,也 应 采用 逻辑 上 的 措施 , 即 研究 开发 有 效 的 网 络 安全 技术 ,例如 ,安全 协议 、 密 码 技 
术 数字 签名 .防火墙 ,安全 管理 .安全 审计 等 ;以 防止 网 络 上 传输 的 信息 被 非法 窃取 、 自 
改 、 伪 造 , 保 证 其 保密 性 和 完整 性 ;防止 非法 用 户 的 侵入 ,限制 网 络 上 用 户 的 访问 权限 , 保 
证 信息 存放 的 私有 性 。 除 了 私有 性 和 完整 性 之 外 ,一 个 安全 的 计算 机 网 络 还 必须 考虑 通 
信 双 方 身份 的 真实 性 和 信息 的 可 用 性 。 

计算 机 网 络 安全 的 目的 是 要 保证 网 络 上 数据 存储 和 传输 的 安全 性 。 国 内 外 很 多 研究 
机 构 为 了 解决 这 个 问题 做 了 大 量 的 工作 ,主要 有 数据 加 密 、 身 份 认证 数字 签名 、 防 火 墙 、 
安全 审计 ,安全 管理 ,安全 内 核 , 安 全 协议 、IC 卡 、 拒 绝 服务 、 网 络 安全 性 分 析 、 网 络 信息 安 
全 监测 和 信息 安全 标准 化 等 方面 的 研究 。 
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1.11 计算 机 网 络 安全 


计算 机 网 络 安全 是 指 保持 网 络 中 的 硬件 .软件 系统 正常 运行 ,使 它们 不 因 自 然 和 人 为 
的 因素 而 被 破坏 、 更 改 和 泄露 。 网 络 安全 主要 包括 物理 安全 、 软 件 安全 、 信 息 安 全 和 运行 
安全 四 个 方面 。 


1. 物理 安全 


物理 安全 包括 硬件 ,存储 媒体 和 外 部 环境 的 安全 。 硬 件 是 指 网 络 中 的 各 种 设备 和 通 
信 线 路 ,如 主机 、 路 由 器 服务器. 工作站、 交换 机 .电缆 等 ;存储 媒体 包括 磁盘 .光盘 等 ;外 
部 环境 则 主要 指 计算 机 设备 的 安装 场地 ,供电 系统 。 保 障 物理 安全 ,就 是 要 保护 这 些 硬件 
设施 能 够 正常 工作 而 不 被 损害 。 


2. 软件 安全 


软件 安全 是 指 网 络 软件 及 各 个 主机 、 服 务 器 .工作 站 等 设备 所 运行 的 软件 的 安全 。 保 
障 软件 安全 ,就 是 保护 网 络 中 的 各 种 软件 能 够 正常 运行 而 不 被 修改 、 破 坏 和 使 用 。 


3. 信息 安全 


信息 安全 是 指 网 络 中 所 存储 和 传输 数据 的 安全 ,主要 体现 在 信息 隐蔽 性 和 防 修改 的 
能 力 上 。 保 障 信息 安全 ,就 是 保护 网 络 中 的 信息 不 被 非法 修改 .复制 解密、 使 用 等 ,也 是 
保障 网 络 安全 最 根本 的 目的 。 


4. 运行 安全 


运行 安全 指 网 络 中 的 各 个 信息 系统 能 够 正常 运行 并 能 正常 地 通过 网 络 交流 信息 。 保 
障 运行 安全 ,就 是 通过 对 网 络 系统 中 的 各 种 设备 运行 状况 进行 监测 ,发 现 不 安全 因素 时 ， 
及 时 报警 并 采取 相应 措施 ,消除 不 安全 状态 以 保障 网 络 系统 的 正常 运行 。 

网 络 安全 的 目的 是 为 了 确保 网 络 系统 的 保密 性 、 完 整 性 和 可 用 性 。 保 密 性 要 求 只 有 
授权 用 户 才能 访问 网 络 信息 ;完整 性 要 求 网 络 中 的 数据 保持 不 被 意外 或 恶意 地 改变 ;可 用 
性 指 网 络 在 不 降低 使 用 性 能 的 情况 下 仍 能 根据 授权 用 户 的 需要 提供 资源 服务 。 


112 网 络 安全 的 特征 


由 于 网 络 安 全 受到 威胁 的 多 样 性 、 复 杂 性 及 网 络 信 息 、 数 据 的 重要 性 ,在 设计 网 络 系 
统 时 ,应 该 努力 达到 安全 目标 。 一 个 安全 的 网 络 具 有 下 面 五 个 特征 : 可 靠 性 、 可 用 性 \ 保 
密 性 、 完 整 性 和 不 可 抵赖 性 。 


1. 可 靠 性 


可 靠 性 是 网 络 安全 最 基本 的 要 求 之 一 ,是 指 系 统 在 规定 条 件 下 和 规定 时 间 内 完成 规 
定 功能 的 概率 。 如 果 网 络 不 可 靠 ,经 常 出 问题 ,这 个 网 络 就 是 不 安全 的 。 目 前 ,对 于 网 络 
可 靠 性 的 研究 主要 偏重 于 硬件 可 靠 性 方面 。 研 制 高 可 靠 性 硬件 设备 ,采取 合理 的 元 余 备 


| 《 。 >| 计算 机 网 络 安全 技术 案例 教程 


份 措施 是 最 基本 的 可 靠 性 对 策 。 但 实际 上 有 许多 故障 和 事故 ,与 软件 可 靠 性 .人 员 可 靠 性 
和 环境 可 靠 性 有 关 。 如 人 员 可 靠 性 在 通信 网 络 可 靠 性 中 起 着 重要 作用 。 有 关 资 料 表 明 ， 
系统 失效 中 很 大 一 部 分 是 由 人 为 因素 造成 的 。 


2. 可 用 性 


可 用 性 是 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 , 即 当 需 要 时 能 否 存 取 所 需 的 信息 。 
网 络 最 基本 的 功能 是 向 用 户 提供 所 需 的 信息 和 通信 服务 ,而 用 户 的 通信 要 求 是 随机 的 、 多 
方面 的 ,有 时 还 要 求 具 有 时 效 性 。 网 络 必须 随时 满足 用 户 通 信 的 要 求 。 从 某 种 意义 上 讲 ， 
可 用 性 是 可 靠 性 的 更 高 要 求 ,特别 是 在 重要 场合 下 ,特殊 用 户 的 可 用 性 显得 十 分 重要 。 为 
此 ,网 络 需要 采用 科学 合理 的 网 络 拓扑 结构 ,必要 的 元 余 、 容 错 和 备份 措施 及 网 络 自 愈 技 
术 , 分 配 配置 和 负荷 分 担 、 各 种 完善 的 物理 安全 和 应 急 措施 等 ,从 满足 用 户 需 求 出 发 ,保证 
通信 网络 的 安全 。 在 网 络 环境 下 ,拒绝 服务 破坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 
可 用 性 的 攻击 。 


3. 保密 性 


保密 性 指 防止 信息 泄露 给 非 授 权 个 人 或 实体 。 信 息 只 为 授权 用 户 使 用 ,保密 性 是 对 
信息 的 安全 要 求 。 它 是 在 可 靠 性 和 可 用 性 的 基础 上 ,保障 网 络 中 信息 安全 的 重要 手段 。 
对 于 敏感 用 户 信息 的 保密 ,是 人 们 研究 最 多 的 领域 。 由 于 网 络 信息 会 成 为 黑客 .计算 机 犯 
罪 .病毒 ,甚至 信息 战 的 攻击 目标 ,已 受到 了 人 们 越 来 越 多 的 关注 。 


4. 完整 性 


完整 性 也 是 面向 信息 的 安全 要 求 。 它 是 指 信息 不 被 偶然 或 蓄意 地 删除 ,修改 、 伪 造 、 
乱 序 、 重 放 , 择 入 等 操作 破坏 的 特性 。 它 与 保密 性 不 同 ,保密 性 是 防止 信息 泄露 给 非 授 权 
的 人 ,而 完整 性 则 要 求 信 息 的 内 容 和 顺序 都 不 受 破坏 和 修改 。 用 户 信息 和 网 络 信息 都 要 
求 完整 性 ,例如 ,对 于 涉及 金融 的 用 户 信息 , 如 果 用 户 账目 被 修改 、 伪 造 或 删除 ,将 带 来 巨 
大 的 经 济 损失 。 网 络 信息 一 旦 被 破坏 ,严重 的 还 会 造成 通信 网 络 的 瘫痪 。 


5. 不 可 抵赖 性 


不 可 抵赖 性 也 称 不 可 否认 性 ,是 面向 通信 双方 (人 、 实 体 或 进程 ) 信 息 真实 的 安全 要 
求 。 它 包括 收发 双方 均 不 可 抵赖 。 随 着 通信 业务 的 不 断 扩大 ,电子 贸易 .电子 金融 .电子 
商务 和 办 公 自 动 化 等 许多 信息 处 理 过 程 都 需要 通信 双方 对 信息 内 容 的 真实 性 进行 认同 ， 
为 此 ,应 采用 数字 签名 、 认 证 ,数据 完备 、 鉴 别 等 有 效 措施 ,以 实现 信息 的 不 可 抵赖 性 。 

网 络 的 安全 不 仅仅 是 防范 窃 密 活 动 , 其 可 靠 性 、 可 用 性 、 完 整 性 和 不 可 抵赖 性 应 作为 
与 保密 性 同等 重要 的 安全 目标 来 实现 。 我 们 应 从 观念 上 、 政 策 上 做 出 必要 的 调整 ,全 面 规 
划 和 实施 网 络 信息 的 安全 。 
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1.2 网 络 安全 面临 的 威胁 
121 网 络 内 部 威胁 


1. 计算 机 系统 的 脆弱 性 


计算 机 系统 的 脆弱 性 主要 来 自 计 算 机 操作 系统 的 不 安全 性 ,在 网 络 环境 下 ,还 来 源 于 
网 络 通信 协议 的 不 安全 性 。 计 算 机 系统 有 其 自身 的 安全 级 别 , 有 的 计算 机 操作 系统 属于 
D 级 ,这 一 级 别 的 操作 系统 基本 没有 安全 防护 措施 , 它 就 像 一 个 门窗 大 开 的 屋子 ,如 
DOS、Windows 3.x、Windows 95 等 操作 系统 ,它们 只 能 用 于 一 般 的 桌面 计算 机 系统 ,而 
不 能 用 于 安全 性 要 求 高 的 服务 器 的 操作 系统 。UNIX 系统 和 Windows NT 达到 了 C2 级 
别 , 其 安全 性 远 远 高 于 Windows 95 操作 系统 ,而 且 主 要 用 于 服务 器 上 。 但 这 种 操作 系统 
仍然 存在 安全 漏洞 ,因为 这 两 种 系统 都 存在 超级 用 户 ,UNIX 中 是 root, 而 Windows NT 
中 是 Administrator, 如 果 入 侵 者 得 到 了 超级 用 户口 令 , 整 个 系统 将 完全 受 控 于 入侵 者 ,这 
样 系统 将 面临 巨大 的 危险 。 现 在 ,人们 正在 研究 一 种 新 型 的 操作 系统 ,在 这 种 操作 系统 中 
没有 超级 用 户 ,也 就 不 会 存在 超级 用 户 带 来 的 问题 。 现 在 很 多 操作 系统 都 使 用 静态 口令 ， 
但 口令 还 是 有 很 大 破解 可 能 性 的 ,而 且 不 好 的 口令 维护 制度 会 导致 口令 丢失 。 口令 丢失 
也 就 意味 着 安全 系统 的 全 面 崩溃 。 

世界 上 没有 能 长 久 运行 的 计算 机 系统 ,计算 机 系统 可 能 会 因 硬件 故障 或 软件 原因 而 
停止 运行 或 发 生 运行 错误 ,或 被 入侵 者 利用 并 造成 损失 。 硬 盘 故 障 、 电 源 故障 和 主板 芯片 
故障 等 都 是 人 们 应 经 常 考虑 的 硬件 故障 问题 。 软 件 原因 可 能 存在 于 操作 系统 中 ,更 多 的 
是 存在 于 应 用 软件 中 。 


2. 网 络 内 部 的 威胁 


对 网 络 内 部 的 威胁 主要 来 自 网 络 内 部 的 用 户 , 这 些 用 户 试图 访问 那些 不 允许 使 用 的 
资源 和 服务 器 。 这 种 威胁 可 以 分 为 如 下 两 种 情况 。 

(1) 有 意 的 安全 破坏 ,人 侵 者 的 攻击 和 计算 机 犯罪 就 是 属于 这 一 类 。 这 是 计算 机 网 
络 所 面临 的 最 大 威胁 ,此 类 威胁 还 可 以 分 为 主动 攻击 和 被 动 攻击 两 种 情况 ,主动 攻击 是 指 
计算 机 网 络 的 内 部 用 户 以 各 种 方式 有 选择 地 破坏 信息 的 有 效 性 和 完整 性 ,而 被 动 攻击 则 
是 在 不 影响 网 络 正 常 工作 的 情况 下 ,进行 信息 截获 ,窃取 ,破译 等 ,目的 是 为 了 获得 重要 机 
密 信息 。 

(2) 由 于 用 户 安全 意识 差 造成 的 无 意识 的 操作 失误 ,使 系统 或 网 络 发 生 故 障 或 朋 溃 。 
如 操作 员 安 全 配置 不 当 造 成 的 安全 漏洞 或 隐患 ,用 户 安全 意识 不 强 , 用 户口 令 选择 不 慎 或 
不 恰当 ,用 户 将 自己 的 账号 保护 不 严 或 与 别人 共享 等 ,都 会 对 网 络 安全 带 来 威胁 和 隐患 ， 
或 者 被 非法 入 侵 者 加 以 利用 ,从 而 造成 对 系统 的 危害 。 


122 网 络 外 部 威胁 
除了 受到 来 自 网 络 内 部 的 安全 威胁 外 .网 络 还 受到 来 自 外 界 的 各 种 各 样 的 威胁 。 网 
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络 系统 受到 的 威胁 是 多 样 的 ,因为 在 网 络 系统 中 可 能 存在 许多 种 类 的 计算 机 和 操作 系统 ， 
采用 统一 的 安全 措施 是 不 容易 的 ,也 是 不 可 能 的 ,而 对 网 络 进行 集中 安全 管理 则 是 一 种 好 
的 方案 。 

安全 威胁 可 以 归结 为 物理 威胁 、 网 络 威胁 .身份 鉴别 、 编 程 .系统 漏洞 等 方面 。 


1. 物理 威胁 


物理 安全 是 指 保护 计算 机 硬件 和 存储 介质 等 设备 和 工作 程序 不 遭受 损失 。 常 见 的 物 
理 安全 威胁 有 偷窃 ,垃圾 搜寻 和 间谍 活动 等 。 物 理 安全 是 计算 机 系统 和 网 络 操作 系统 安 
全 的 最 重要 的 方面 。 

办 公 室 的 计算 机 是 偷窃 者 的 主要 目标 之 一 。 由 于 计算 机 或 网 络 服 务 器 中 存储 的 数据 
信息 的 价值 远 远 超过 设备 的 价值 ,计算 机 偷窃 行为 对 用 户 的 损失 可 能 成 倍 于 被 偷 的 设备 
的 价值 。 因 此 ,必须 采取 严格 的 防范 措施 以 确保 计算 机 设备 不 会 被 偷窃 。 人 侵 者 可 能 会 
潜入 计算 机 房 , 偷 取 计 算 机 或 计算 机 里 的 机 密 信 息 , 也 可 能 化 装 成 计算 机 维修 人 员 , 趁 管 
理 员 不 注意 时 进行 偷窃 。 当 然 , 也 可 能 是 内 部 职员 窃取 他 们 不 应 该 看 到 的 信息 ,并 把 信息 
散布 出 去 或 卖 给 竞争 对 手 。 

千 万 不 要 小 看 了 搜寻 垃圾 。 在 商业 竞争 中 ,有 些 人 专门 会 搜寻 竞争 对 手 扔 下 的 垃圾 ， 
以 寻找 一 些 机 密 信 息 。 办 公 室 的 工作 人 员 可 能 会 把 一 些 没 经 过 任何 安全 处 理 的 打印 错误 
的 文件 扔 进 废 纸 繁 , 而 这 些 文件 就 有 可 能 落 到 竞争 对 手 的 手中 ,这 样 , 机 密 信息 便 泄露 了 。 

间谍 活动 是 人 们 不 能 忽略 的 一 种 因素 ,现在 商业 间谍 很 多 ,而 且 一 些 商 业 机 构 可 能 会 
为 击败 对 手 而 采取 任何 不 道德 的 手段 ,有 时 政府 机 关 也 有 可 能 卷 和 这 种 间谍 活动 当中 。 


2. 网 络 威胁 


计算 机 网 络 的 发 展 和 使 用 对 数据 信息 造成 了 新 的 安全 威胁 。 在 计算 机 网 络 中 存在 电 
子 窃听 ,分 布 式 计算 机 系统 的 特征 使 各 种 分 离 的 计算 机 通过 一 些 媒介 相互 连接 在 一 起 , 进 
行 相互 通信 ,而 且 局 域 网 一 般 是 广播 式 的 ,只 要 把 网 卡 模式 设置 成 混合 模式 ,网 络 上 人 人 
都 可 以 收 到 发 向 任何 人 的 信息 。 当 然 ,也 可 以 通过 加 密 来 解决 这 个 问题 ,但 目前 强大 的 加 
密 技术 还 没有 在 网 络 上 广泛 使 用 ,况且 加 密 也 是 有 可 能 被 破解 的 。 

网 络 设备 也 可 以 造成 网 络 的 安全 威胁 。 我 国 的 很 多 个 人 网 络 用 户 都 是 通过 调制 解 调 
器 用 电话 线 等 方式 拨号 接 人 Internet 或 单位 的 局 域 网 的 ,因为 调制 解 调 器 也 存在 安全 问 
题 , 入 侵 者 可 能 通过 电话 线 人 侵 到 用 户 的 网 络 中 。 

在 Internet 上 还 存在 很 多 电子 欺骗 的 现象 ,而 这 种 电子 欺骗 的 形式 也 是 多 种 多 样 的 ， 
如 一 个 公司 可 能 会 谎 称 一 个 站 点 是 其 公司 的 网 站 。 在 网 络 通信 中 ,有 的 人 可 能 冒充 别人 
或 冒充 从 另外 一 台 机 器 访问 某 站 点 等 ,这 样 会 很 难 辨别 用 户 的 真实 身份 。 


3. 身份 鉴别 


目前 ,身份 鉴别 普遍 存在 于 计算 机 系统 当中 ,实现 的 方式 各 种 各 样 ,有 的 功能 十 分 强 
大 ,有 的 则 比较 脆弱 。 其 中 ,口令 就 是 一 种 比较 脆弱 的 身份 鉴别 手段 , 它 的 功能 不 是 很 强 ， 
但 因为 它 实现 起 来 比较 简单 ,所 以 还 是 被 广泛 采用 。 计 算 机 系统 中 的 身份 鉴别 存在 口令 
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圈套 ,口令 破解 和 算法 缺陷 等 安全 威胁 。 

口令 圈套 是 一 种 十 分 高 明 的 诡计 , 它 是 一 种 靠 欺骗 来 获取 口令 的 手段 。 如 登录 欺骗 ， 
具体 是 写 出 一 个 运行 起 来 像 登 录 屏 幕 一 样 的 代码 模块 ,把 它 插 和 人 登录 过 程 之 前 ,这 样 , 用 
户 就 会 把 用 户 名 和 登录 口令 告知 程序 ,这 个 程序 会 把 用 户 名 和 口令 保存 起 来 。 除 此 之 外 ， 
该 代码 还 会 告诉 用 户 登 录 失 败 ,并 启动 真正 的 登录 程序 ,这 样 用 户 就 不 容易 发 现 这 个 
欺骗 。 

还 有 一 种 得 到 口令 的 方式 是 用 密码 字典 或 其 他 工具 软件 来 暴力 破解 口令 ,有 的 用 户 
选用 的 口令 十 分 脆弱 ,如 一 个 人 的 生日 .电话 号 码 .名字 或 单词 等 ,这 样 攻击 者 就 很 容易 强 
行 破解 。 因 此 ,系统 管理 员 应 对 用 户 的 口令 进行 严格 审查 ,通常 可 以 利用 一 些 工 具 软 件 来 
检查 口令 是 否 达到 系统 管理 的 要 求 和 规定 。 

口令 输入 后 要 正常 工作 必须 满足 一 定 的 条 件 , 当 条 件 发 生变 化 时 ,其 口令 算法 程序 就 
可 能 工作 不 正常 。 即 当 人 们 移植 一 种 算法 时 ,这 种 算法 可 能 在 人 们 工作 环境 下 存在 漏洞 ， 
这 就 是 口令 算法 缺陷 带 来 的 安全 隐患 。 


4. 编程 


编程 威胁 主要 有 计算 机 病毒 和 特洛伊 木马 等 。 编 程 就 是 通过 编制 程序 代码 实施 对 系 
统 的 破坏 。 计 算 机 病毒 就 是 一 种 能 进行 自我 复制 的 程序 代码 , 它 可 以 像 生物 病毒 一 样 传 
染 别 的 完好 的 程序 。 计 算 机 病毒 具有 一 定 的 破坏 性 ,破坏 性 大 小 不 一 样 ,小 的 只 是 显示 一 
些 信 息 ,影响 用 户 使 用 计算 机 ,而 大 的 可 能 会 让 整个 系统 瘫痪 。 现 在 ,Internet 上 有 很 多 
种 类 的 病毒 ,这 些 病毒 在 网 络 上 不 断 地 传播 ,严重 危害 Internet 的 安全 。 它 可 能 通过 不 同 
的 方式 进入 用 户 的 计算 机 系统 或 网 络 系统 ,如 下 载 软件 .Java Applet 程序 、ActiveX 和 电 
子 邮 件 等 。 

现在 ,在 桌面 系统 中 流行 一 种 宏 病毒 ,可 以 破坏 Word 文档 ,这 种 病毒 存在 于 宏 操作 
的 软件 中 ,如 Microsoft 的 Word 和 Excel 等 软件 。 

逻辑 炸弹 是 一 种 恶意 代码 , 它 可 以 让 用 户 的 系统 瞬间 崩溃 ,还 会 格式 化 硬盘 或 删除 系 
统 文件 等 。 特 洛 伊 木 马 也 是 一 种 恶意 代码 .但 它 和 逻辑 炸弹 不 同 , 它 会 把 自己 伪装 成 一 个 
很 正常 的 程序 ,在 用 户 不 知道 的 情况 下 破坏 系统 ,具有 很 大 的 破坏 性 。 


系统 漏洞 是 指 应 用 软件 或 操作 系统 软件 在 逻辑 设计 上 的 缺陷 或 在 编写 时 产生 的 错 
误 ,这 个 缺陷 或 错误 可 以 被 不 法 者 或 者 黑客 利用 ,通过 植 和 木马、 病毒 等 方式 来 攻击 或 控 
制 整个 计算 机 ,从 而 窃取 其 中 的 重要 资料 和 信息 ,甚至 破坏 计算 机 系统 。 

漏洞 影响 到 的 范围 很 广 ,包括 系统 本 身 及 其 支撑 软件 、 网 络 客户 和 服务 器 软件 、 网 络 
路 由 器 和 安全 防火 墙 等 。 换 言 之 ,在 这 些 不 同 的 软 ,硬件 设备 中 都 可 能 存在 不 同 的 安全 漏 
洞 问题 。 在 不 同 种 类 的 软 、 硬 件 设备 , 同 种 设备 的 不 同 版 本 之 间 , 由 不 同 设备 构成 的 不 同 
系统 之 间 , 以 及 同 种 系统 在 不 同 的 设置 条 件 下 ,都 会 存在 不 同 的 安全 漏洞 问题 。 
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系统 的 价值 是 由 系统 性 能 、 安 全 管理 花费 的 时 间 使 用 性 和 复杂 性 决定 的 。 许 多 系 
统 设 有 系统 “安全 员 ”, 专 门 管理 和 监控 计算 机 系统 设备 的 安全 运转 。 安 全 措施 有 很 多 
形式 ,如 将 操作 系统 设置 成 阻止 用 户 读 取 未 经 批准 的 数据 ,不 允许 用 户 越权 读 取 数据 
信息 。 它 可 以 是 计算 机 用 户 的 工作 步骤 ,如 在 碎 纸 机 或 者 焚烧 炉 中 处 理 所 有 的 打印 资 
料 或 磁 介 质 , 也 可 以 以 报警 和 日 志 的 形式 出 现 ,如 告诉 管理 员 在 什么 时 候 有 人 试图 冯 
人 或 间 和 人 成功。 安全 措施 还 包括 在 操作 人 员 接触 秘密 数据 前 ,对 他 们 进行 广泛 的 安全 
检查 。 安 全 措施 也 可 以 是 保障 物理 安全 的 形式 ,如 门 上 锁 和 设 报警 系统 以 防止 有 人 偷 
窃 设 备 和 存储 介质 等 。 

在 安全 环境 中 ,许多 安全 措施 相互 加 强 , 如 果 一 层 失败 , 则 另 一 层 将 防止 或 最 大 限度 
地 减少 损害 。 下 面 是 一 些 具体 的 措施 。 


1. 数据 信息 的 备份 


应 经 常备 份 或 拷贝 重要 的 数据 ,并 将 拷贝 或 备份 保留 在 一 个 安全 的 地 方 , 一 旦 失去 原 
件 就 能 使 用 备份 。 应 该 有 规律 地 备份 以 便 用 户 避 免 由 于 硬件 的 故障 导致 数据 信息 的 丢 
失 。 提 高 可 靠 性 是 提高 安全 性 的 一 种 方法 ,备份 就 是 一 种 提高 系统 可 靠 性 的 方法 , 它 可 以 
保证 今天 存储 的 数据 明天 还 可 以 使 用 。 由 于 计算 机 系统 芯片 或 者 电源 的 失效 ,甚至 是 火 
灾 等 可 能 引起 系统 的 失误 或 破坏 ,备份 将 提高 安全 保障 。 

备份 对 于 防范 人 为 的 破坏 也 至 关 重 要 。 如 果 计 算 机 系统 被 破坏 ,只 要 有 数据 备份 ,就 
可 以 在 另 一 台 计 算 机 上 恢复 。 备 份 系统 是 最 常用 的 提高 数据 完整 性 的 措施 ,备份 工作 可 
以 手工 完成 ,也 可 以 自动 完成 , 现 有 的 操作 系统 都 自 带 备份 系统 ,但 这 种 备份 系统 比较 初 
级 ,如 果 对 备份 要 求 高 ,需要 配置 专门 的 备份 系统 。 


2. 病毒 检查 


定期 检查 病毒 并 对 移动 存储 介质 或 下 载 的 文件 或 软件 加 以 安全 控制 ,最 起 码 应 在 使 
用 前 对 移动 存储 介质 和 下 载 的 软件 进行 病毒 检查 ,及 时 更 新 杀毒 软件 的 版 本 ,注意 病毒 流 
行 的 动向 ,及 时 发 现 正在 流行 的 计算 机 病毒 ,并 采取 相应 的 措施 进行 防范 。 


3. 及 时 安装 补丁 程序 


计算 机 操作 系统 和 应 用 系统 软件 都 会 存在 一 些 漏洞 ,这 些 漏洞 可 以 通过 软件 商 提供 
的 补丁 程序 进行 修正 ,因此 ,要 及 时 安装 各 种 安全 补丁 程序 ,不 给 入 侵 者 任何 可 乘 之 机 。 
系统 的 安全 漏洞 传播 很 快 , 若 不 及 时 修正 ,后 果 就 难以 预料 。 现 在 ,一 些 大 公司 的 网 站 上 
都 有 这 种 系统 安全 漏洞 的 说 明 , 并 有 相应 的 解决 方法 ,用 户 可 以 访问 这 些 站 点 以 获取 有 用 
的 信息 ,或 对 软件 进行 自动 更 新 。 


4. 提高 物理 安全 


保证 计算 机 机 房 的 安全 是 提高 物理 安全 的 重要 保证 ,因为 即使 采取 了 网 络 安全 或 其 
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他 安全 措施 ,如 果 有 人 闻 入 机 房 ,那么 所 有 措施 也 都 不 是 很 管用 了 。 
5. 设置 Internet 防火 墙 


Internet 防火 墙 是 一 种 有 效 保证 网 络 安全 的 技术 ,但 一 个 维护 很 差 的 防火 墙 也 不 会 
有 很 大 的 作用 ,所 以 还 需要 有 经 验 的 人 员 进行 管理 和 维护 。 虽 然 防火 墙 是 网 络 安全 体系 
中 极为 重要 的 一 环 , 但 它 并 不 是 万 能 的 ,虽然 防火 墙 可 以 解决 一 些 安全 问题 ,但 仍 有 很 多 
危险 是 防火 墙 解决 不 了 的 。 

防火 墙 不 能 防止 内 部 的 攻击 ,因为 它 只 提供 了 网 络 边界 的 防卫 ,而 内 部 人 员 可 以 滥用 
访问 权限 ,从 而 引起 安全 事故 。 事 实 上 ,许多 黑客 人 侵 事 件 和 Internet 的 关系 很 小 ,如 一 
种 常用 的 人 侵 手 段 是 社会 工程 攻击 , 它 就 是 靠 欺骗 获得 一 些 可 以 破坏 安全 的 信息 来 实施 
攻击 的 ,如 网 络 口令 等 。 另 外 ,一 些 用 来 传递 数据 的 电话 线 也 可 能 被 作为 人 侵 内 部 网 络 的 

有 恶意 的 代码 也 是 防火 墙 不 能 解决 的 问题 之 一 ,如 E-mail 和 Java 的 使 用 为 病毒 和 
特洛伊 木马 的 传播 带 来 了 方便 。 虽 然 现在 的 防火 墙 可 以 检查 病毒 和 特洛伊 木马 ,但 这 些 
防火 墙 只 能 阻挡 已 知 的 病毒 程序 ,这 就 可 能 让 新 的 特洛伊 木马 侵入 系统 。 而 且 ,特洛伊 木 
马 不 仅 来 自 网 络 , 也 可 能 来 自 光盘 和 移动 存储 设备 ,因此 ,要 有 相应 的 制度 ,对 网 络 和 磁盘 
进行 严格 的 检查 。 

如 果 没 有 明确 的 信息 安全 制度 ,即使 拥有 再 好 的 防火 墙 也 没有 用 。 在 建立 局 域 网 时 
如 果 没 有 做 好 计算 机 的 安全 措施 , 当 把 局 域 网 连 入 Internet 时 ,就 不 能 保证 局 域 网 的 
安全 。 


6. 审查 日 志 


阅读 审查 日 志文 件 ,可 以 发 现 系统 被 人 侵 的 痕迹 ,以 便 及 时 采取 弥补 措施 ,或 追踪 人 
侵 者 。 对 可 疑 活动 一 定 要 进行 仔细 分 析 , 如 有 人 在 试图 访问 一 些 不 安全 的 服务 端口 ,有 人 
利用 Finger、TFTP 或 Debug 等 手段 访问 用 户 的 邮件 服务 器 ,有 人 企图 登录 到 用 户 的 计 
算 机 ,特别 是 试图 登录 到 Internet 的 通用 账户 上 。 


7. 数据 加 密 


现代 加 密 技 术 很 发 达 , 为 防止 网 络 被 窃听 和 支持 ,可 以 对 网 络 通信 进行 加 密 , 对 绝密 
文件 更 应 该 实施 加 密 , 以 保证 数据 或 数据 通信 的 可 靠 和 安全 。 


< 【条例 】 与 Rng 命令 相关 的 攻击 与 防范 


案例 分 析 


测试 网 络 的 命令 Ping(Packet Internet Grope,Internet 包 探 索 器 ) 是 用 于 测试 网 络 连 
接 情 况 的 程序 。 它 发 送 一 个 ICMP 响应 请 求 消息 给 目的 地 ,并 报告 是 否 收 到 所 希望 的 
ICMP 应 答 ,以 便 校 验 与 远程 /本 地 计算 机 的 连接 。 

本 案例 中 的 攻击 只 需 网 中 多 台 计 算 机 同时 在 Ping 命令 后 加 上 参数 -t 对 目标 机 进行 
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长 时 间 测试 ,就 攻击 的 意义 而 言 就 完成 了 一 次 Ping 攻击 ,大 量 的 数据 包 将 会 使 目标 机 运 
行 速度 越 来 越 慢 , 其 至 竣 痰 。 在 DOS 环境 中 完成 这 个 命令 ,命令 格式 如 下 。 
Ping 目标 IP 地 址 -t 
例如 : 
Ping 192.168.0.6-t 
下 面 进入 防范 Ping 攻击 的 操作 ,该 步骤 通过 添加 IP 策略 完成 。 
操作 步 又 


第 1 步 添加 IP 安 全 策略 。 先 在 控制 台中 添加 IP 安全 策略 单元 ,添加 步骤 如 下 。 
(1) 选择 “开始 ”一 “运行 "命令 ,在 出 现 的 “运行 "窗口 中 输入 mmc 并 按 Enter 键 ,此 
时 将 打开 “控制 台 1” 窗 口 ,如 图 1.1 所 示 。 


向 控制 台 1 - [控制 台 根 节点 ] .glx 
| 铺 控制 6(O” 定 DQW 到 DBa|m|=lslx 
| 加 作 (查看 WW 收 让 小 | 向 | 四 | 多 

和 桂 | 收 总 严 | 


图 1.1 “控制 台 1 窗口 


(2) 在 图 1.1 所 示 窗 口 依次 单 击 "文件 ”ET 人 
“添加 /删除 管理 单元 ”命令 ,此 时 将 打开 “ 添 。 用 的 入 这 管理 间 元 
加 /删除 管理 单元 ”对 话 框 , 单 击 “添加 ”按钮 
在 弹出 的 “添加 独立 管理 单元 ”对 话 框 中 的 


Mierosoft Corpors, 
验证 服务 CAS) 有 eroseft Corpora， 


Microsoft Corpore. [| 


“管理 单元 ”列表 中 双击 “IP 安全 策略 管理 ”， 必 吕 sieoso Morosot Corpoew, 
如 图 i 2 所 示 。 Nicrosoft Corpora. 

(3) 这 时 将 弹出 “选择 计算 机 或 域 ” 对 话 ha ere | 
框 ,在 此 选中 “本 地 计算 机 ”, 然 后 单 击 “ 完 成 ” 中 语 


按钮 ,最 后 依次 单 击 “关闭 ”“ 确 定 ” 按 钮 , 返 齐全 WS 
回 “ 控 制 台 1” 窗 口 ,此 时 在 “控制 台 根 节点 ” 
下 增加 了 “IP 安全 策略 ,在 本 地 机 器 "选项 ， EE || | 


如 图 1.3 所 示 , 这 说 明 控 制 台 中 已 经 添加 了 图 1.2 “添加 独立 管理 单元 ”对 话 框 


| 父 安 全 服务 器 (要 求 安 ,.， 对 于 所 有 I 通讯 ,总 是 要 ,.， 理 
因 客户 庙 ( 只 响应 ) 进行 正常 通讯 没有 加 密 ).，。 否 
| 侠 服务 器 (请 求 安全 设置 ) 总 是 用 Kerberos 信任 为 所 ..， 否 


图 1.3 控制 台 根 节点 


IP 安全 策略 选项 。 

第 2 步 创建 IP 安 全 策略 。 在 添加 IP 安全 策略 后 ,还 要 创建 一 个 新 的 IP 安全 策 
略 , 步 骤 如 下 。 

(1) 在 图 1.3 中 右 击 "JIP 安全 策略 ,在 本 地 机 器 ”选项 ,在 快捷 菜单 中 选择 “创建 IP 安 
全 策略 "命令 ,打开 “IP 安全 策略 向 时” 窗口。 

(2) 单 击 * 下 一 步 ?按钮 ,将 出 现 要 求 指定 IP 安全 策略 名 称 及 策略 描述 向 导 页 面 ,在 
“描述 ”文本 框 中 输入 一 个 策略 描述 ,如 “禁止 ping”, 如 图 1.4 所 示 。 


JIP 安全 策略 名 称 
命名 这 个 安全 策略 并 且 可 选择 给 出 一 个 简短 的 描述 


图 1.4 “IP 安全 策略 向 导 ” 窗 口 


(3) 单 击 “ 下 一 步 ” 按 钮 ,在 出 现 的 页 面 中 选中 “激活 默认 相应 规则 ”选项 ,然后 单 击 
“下 一 步 "按钮 。 
(4) 在 出 现 的 “默认 响应 规则 身份 验证 方法 "页面 中 选中 “此 字 串 用 来 保护 密 钥 交换 
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( 预 共 享 密 铀 )” 单 选 按钮 ,然后 在 下 面 的 文本 框 中 任意 输入 一 段 字 符 串 (如 “禁止 ping”)， 
如 图 1.5 所 示 。 


图 1.5 “默认 响应 规则 身份 验证 方法 "页 面 


(5) 单 击 “ 下 一 步 "按钮 ,将 出 现 完成 “IP 安全 策略 向 导 ” 对 话 框 ,最 后 单 击 “ 完 成 "按钮 
即 完成 了 IP 安全 策略 的 创建 工作 。 

第 3 步 编辑 IP 安 全 策略 属性 。 在 以 上 IP 安全 策略 创建 后 ,在 控制 台中 就 会 看 到 
刚刚 创建 好 的 “新 IP 安全 策略 "选项 。 下 面 还 要 对 其 属性 进行 编辑 修改 ,步骤 如 下 。 

(1) 在 控制 台中 双击 创建 好 的 “新 IP 安全 策略 ”, 将 弹出 “新 IP 安全 策略 属性 对话 
框 ,如 图 1.6 所 示 。 


新 IP 安全 策略 尾 性 


图 1.6 “新 IP 安 全 策略 属性 "对话 框 


(2) 单 击 “ 添 加 ”按钮 ,将 弹出 “安全 规则 向 导 ” 对 话 框 , 单 击 “ 下 一 步 ”按钮 则 进入 “ 隧 
道 终结 点 ”页 面 ,在 此 选择 “此 规则 不 指定 隧道 ”选项 。 

(3) 单 击 “ 下 一 步 " 按 钮 ,将 出 现 “ 网 络 类 型 ”页面 ,选中 “所 有 网 络 连 接 ” 单 选 按钮 ,就 
能 保证 所 有 计算 机 都 Ping 不 通 该 主机 了 ,如 图 1.7 所 示 。 


安全 规则 向 导 


图 1.7 选中 “所 有 网 络 连接 " 单 选 按钮 


(4) 单 击 * 下 一 步 ?按钮 ,将 出 现 *“ 身 份 验证 方法 ”页面 ,选中 "此 字 串 用 来 保护 密 钥 交 
换 ( 预 共享 密 钥 )? 单 选 按钮 ,然后 在 下 面 的 文本 框 中 输入 “禁止 ping”, 如 图 1.8 所 示 。 


图 1.8 “身份 验证 方法 ”页面 


(5) 单 击 “ 下 一 步 ”按钮 ,在 打开 的 “IP 筛选 器 列表 ”对 话 框 中 单 击 “ 添 加 ”按钮 ,打开 
“IP 筛选 器 列表 ”对 话 框 ,如 图 1.9 所 示 。 

(6) 单 击 “ 添 加 ”按钮 ,打开 “筛选 器 向 导 ” 窗 口 , 单 击 “ 下 一 步 ” 按 钮 ,打开 “IP 通信 源 ” 
页 面 ,在 该 页 面 中 设置 “ 源 地 址 ”为 “我 的 JP 地址”, 如 图 1.10 所 示 。 

(7) 单 击 * 下 一 步 ? 按 钮 ,在 弹出 的 “IP 通信 目标 ”页 面 中 设置 “目标 地 址 ”为 “任何 IP 
地 址 ”, 则 任何 IP 地 址 的 计算 机 都 不 能 Ping 用 户 的 机 器 ,如 图 1. 11 所 示 。 

(8) 单 击 “ 下 一 步 ”按钮 ,在 出 现 的 “IP 协议 类 型 ”页 面 中 设置 “选择 协议 类 型 ”为 
ICMP, 如 图 1.12 所 示 。 


籍 选 加 向 导 


IP 通信 源 
指定 IP 通讯 的 源 地 址 。 


往 选 回 向 导 


JP 通信 目标 
指定 IP 通讯 的 目的 地 址 。 


图 1.11 “IP 通信 目标 "页面 


I 


协议 类 型 
涛 协议 交 弄 。 加 果 这 个 类 型 交 持 下 端口 ， 作 还 需要 指定 了? 冰 


图 1.12 “IP 协议 类 型 "页 面 


(9) 依次 单 击 “ 下 一 步 ”"“ 完 成 ”按钮 ,将 在 “IP 筛选 器 列表 ”对 话 框 看 到 刚 创建 的 筛选 
器 ,将 其 选中 后 单 击 * 下 一 步 按 钮 ,在 出 现 的 “筛选 器 操作 ”页 面 中 设置 筛选 器 操作 为 “要 
求 安全 设置 ”, 如 图 1. 13 所 示 。 


图 1.13 “筛选 器 操作 ”页 面 


(10) 单 击 * 下 一 步 ? 按 钮 ,然后 依次 单 击 “ 完 成 ?" “确定 ”> “关闭 ”按钮 ,保存 相关 的 设 
置 后 返回 控制 台 即 可 。 

第 4 步 指派 IP 安全 策略 。 安 全 策略 创建 完毕 后 并 不 能 马上 生效 ,还 需 通 过 “指派 ” 
功能 令 其 发 挥 作用 。 方 法 是 : 在 “控制 台 根 节点 ”中 右 击 “ 新 IP 安全 策略 ”选项 ,在 弹出 的 
快捷 菜单 中 选择 “指派 ”命令 , 即 可 启用 该 策略 ,如 图 1.14 所 示 。 

至 此 ,这 台 主 机 已 经 具备 了 拒绝 其 他 任何 机 器 Ping 本 机 IP 地 址 的 功能 ,不 过 在 本 地 
仍然 能 够 Ping 通 自己 。 经 过 这 样 的 设置 ,所 有 用 户 ( 包 括 管理 员 ) 都 不 能 在 其 他 机 器 上 对 
此 服务 器 进行 Ping 操作 ,所 以 就 不 用 担心 被 Ping 操作 攻击 了 。 
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| 绚 撞 制 (窗口 Ww) 帮助 由 /og | 
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人 安全 服务 器 (要 求 安 ..。 对 于 所 有 信 通 讯 ， 总 是 要 .… 


1.14 在 “控制 台 根 节点 ”中 右 击 “ 新 IP 安全 策略 ”选项 


1.3 网络 安全 体系 结构 


网 络 安全 体系 的 安全 目标 是 系统 的 保密 性 、 完 整 性 与 可 用 性 的 具体 化 。1989 年 ,为 
实现 开放 系统 互联 网 环境 下 的 信息 安全 ,ISO/TC 97 国际 标准 化 组 织 / 技 术 委 员 会 制定 
了 ISO 7498 一 2 国际 标准 。 该 标准 从 体系 结构 的 观点 描述 了 实现 OSI 参考 模型 之 间 的 安 
全 通信 所 必须 提供 的 安全 服务 和 安全 机 制 , 建 立 了 开放 系统 互联 标准 的 安全 体系 结构 框 
架 ,为 网 络 安全 的 研究 商定 了 基础 。 


131 安全 服务 
ISO 7498 一 2 提供 以 下 5 种 可 供 选 择 的 安全 服务 。 
1. 鉴别 


鉴别 是 访问 控制 的 基础 ,是 针对 主动 攻击 的 重要 防御 措施 。 鉴 别 服务 包括 两 类 : 一 
是 对 等 实体 鉴别 服务 ,这 种 服务 是 在 两 个 开放 系统 (OSI) 同等 层 中 的 实体 建立 连接 和 数 
据 传送 期 间 ,为 提供 连接 实体 身份 的 鉴别 而 规定 的 一 种 服务 .这 种 服务 防止 假冒 或 重 放 以 
前 的 连接 ,也 即 防止 伪造 连接 初始 化 这 种 类 型 的 攻击 。 这 种 鉴别 服务 可 以 是 单 向 的 ,也 可 
以 是 双向 的 。 另 一 类 是 数据 源 鉴别 服务 ,这 是 某 一 层 向 上 一 层 提供 的 服务 , 它 用 来 确保 数 
据 是 由 对 等 实体 发 出 的 ,为 上 一 层 提 供 对 数据 源 的 对 等 实体 进行 鉴别 ,以 防 假冒 。 

2. 访问 控制 

访问 控制 的 目的 是 控制 不 同 用 户 对 信息 资源 的 访问 权限 ,是 针对 越权 使 用 资源 的 防 
御 措施 。 访 问 控制 可 分 为 自主 访问 控制 和 强制 访问 控制 两 类 。 实 现 机 制 可 以 是 基于 访问 
控制 的 属性 的 访问 控制 表 ( 或 访问 控制 矩阵 ) ,也 可 以 是 基于 安全 标签 .用户 分 类 及 资源 分 
档 的 多 级 控制 。 
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3. 数据 保密 


数据 保密 服务 的 目的 是 保护 网 络 中 各 系统 之 间 交 换 的 数据 的 安全 ,防止 因数 据 被 截 
获 而 造成 的 泄密 ,可 分 为 如 下 几 类 。 

(1) 连接 保密 。 对 某 个 连接 上 的 所 有 用 户 数据 提供 保密 。 

(2) 无 连接 保密 。 对 一 个 无 连接 的 数据 包 的 所 有 用 户 数据 提供 保密 。 

(3) 选择 字段 保密 。 对 一 个 协议 数据 单元 中 的 用 户 数据 的 一 些 经 选择 的 字段 提供 
保密 。 


4. 数据 的 完整 性 


数据 的 完整 性 是 针对 非法 算 改 信息 而 设置 的 防范 措施 , 指 的 是 防止 网 上 传输 的 数据 
被 修改 、 删 除 , 插 入 ,替换 或 重 发 ,从 而 保护 合法 用 户 接 收 和 使 用 该 数据 的 真实 性 。 


5. 防止 否认 
接收 方 要 求 发 送 方 保证 不 能 否认 接收 方 收 到 的 信息 是 发 送 方 发 出 的 信息 ,而 非 他 人 


冒名 , 算 改 过 的 信息 ;发送 方 也 要 求 接收 方 不 能 否认 已 经 收 到 的 信息 。 防 止 否 认 是 针对 对 
方 进行 否认 的 防范 措施 ,用 来 证 实 已 经 发 生 过 的 操作 。 


132 安全 机 制 
为 了 实现 上 面 各 种 安全 服务 ,安全 体系 结构 提出 了 如 下 8 种 安全 机 制 。 
1. 加 密 机 制 
加 密 是 提供 数据 保密 的 最 常用 的 方法 。 用 加 密 的 方法 与 其 他 技术 相 结合 ,可 以 提供 


数据 的 保密 性 和 完整 性 。 除 了 对 话 层 不 提供 加 密 保护 外 ,加 密 可 在 其 他 各 层 上 进行 。 与 
加 密 机 制 伴随 而 来 的 是 密 钥 管理 机 制 。 


2. 访问 控制 机 制 


访问 控制 根据 实体 的 身份 及 其 有 关 信 息 来 决定 该 实体 的 访问 权限 。 它 可 以 防止 未 经 
授权 的 用 户 非法 使 用 系统 资源 ,这 种 服务 不 仅 可 以 提供 单个 用 户 , 也 可 以 提供 给 用 户 组 的 
所 有 用 户 。 访 问 控 制 是 通过 对 访问 者 的 有 关 信 息 进行 检查 来 限制 或 禁止 访问 者 使 用 资源 
的 技术 。 分 为 高 层 访问 控制 和 低层 访问 控制 。 高 层 访问 控制 包括 身份 检查 和 权限 确认 ， 
是 通过 对 用 户口 令 .用户 权 限 资源 属性 的 检查 和 对 比 来 实现 的 。 低 层 访问 控制 是 通过 对 
通信 协议 中 的 某 些 特征 信息 的 识别 和 判断 来 禁止 或 允许 用 户 访问 的 措施 ,如 在 路 由 器 上 
设置 过 滤 规 则 进行 包 过 滤 就 属于 低层 访问 控制 。 


3. 数据 完整 性 机 制 


数据 完整 性 机 制 包括 两 个 方面 , 即 数据 单元 的 完整 性 和 数据 序列 的 完整 性 。 
数据 单元 的 完整 性 是 指 组 成 一 个 单元 的 一 段 数据 不 被 破坏 和 增 / 删 自 改 。 通 常 是 把 
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包含 数字 签名 的 文件 用 Hash 函数 产生 一 个 标记 ,接收 者 在 收 到 文件 后 也 用 相同 的 Hash 
函数 处 理 一 遍 , 看 看 产生 的 标记 是 否 相同 就 可 知道 数据 是 否 完整 。 

数据 序列 的 完整 性 是 指 发 出 的 数据 分 割 为 按 序 列 号 编排 的 许多 单元 ,在 接收 时 还 能 
按 原来 的 序列 把 数据 串联 起 来 ,而 不 会 发 生 数据 单元 丢失 ,重复 . 乱 序 、 假 冒 等 情况 。 


4. 数字 签名 机 制 


数字 签名 机 制 是 以 交换 信息 的 方式 来 确认 对 象 身份 的 方法 ,主要 解决 以 下 安全 问题 。 
(1) 否认 。 发 送 者 事后 不 承认 自己 发 送 过 接收 者 提供 的 文件 。 

(2) 伪造 。 有 人 伪造 了 一 份 文件 , 却 声称 是 某 人 发 送 的 。 

(3) 冒充 。 冒 充 别人 的 身份 在 网 上 发 送 文件 。 

(4) 算 改 。 接 收 者 对 收 到 的 信息 进行 部 分 自 改 ,破坏 原意 。 

数字 签名 机 制 具 有 可 证 实 性 、 不 可 否认 性 ,不 可 伪造 性 和 不 可 重用 性 。 


5. 交换 鉴别 机 制 


交换 鉴别 机 制 通过 互相 交换 信息 的 方式 来 确定 彼此 的 身份 。 常 用 的 交换 鉴别 技术 有 
以 下 几 种 。 

(1) 口令 。 由 发 送 方 给 自己 的 口令 ,以 证 明 自 己 的 身份 ,接收 方 则 根据 口令 来 判断 对 
方 的 身份 。 

(2) 密码 技术 。 发 送 方 和 接收 方 各 自 掌握 的 密 钥 是 成 对 的 。 接 收 方 在 收 到 已 加 密 的 
信息 时 ,通过 自己 掌握 的 密 钥 解密 ,能 够 确定 信息 的 发 送 者 是 掌握 了 另 一 个 密 钥 的 那个 
人 。 在 许多 情况 下 ,密码 技术 还 和 时 间 标 记 、 同 步 时 钟 、 双 方 或 多 方 握手 协议 ,数字 签名 、 
第 三 方 公证 等 相 结 合 , 以 提供 更 加 完善 的 身份 鉴别 。 

(3) 特征 实物 。 如 IC 卡 、 指 纹 、 声 音频 谱 等 。 


6. 公证 机 制 


在 一 个 大 型 网 络 中 ,使 用 这 个 网 络 的 所 有 用 户 并 不 都 是 诚实 可 信和 的 ,同时 也 可 能 由 于 
系统 故障 等 原因 使 传输 中 的 信息 丢失 、` 迟 到 等 ,这 很 可 能 引起 区 分 责任 承担 者 的 问题 。 解 
决 这 个 问题 就 需要 有 一 个 各 方 都 信任 的 实体 一 一 公证 机 构 ,以 提供 公证 服务 ,仲裁 出 现 的 
问题 。 一 旦 引入 公证 机 制 , 通 信 双 方 进行 数据 通信 时 必须 经 过 这 个 机 构 来 转换 ,以 确保 公 
证 机 构 能 得 到 必要 的 信息 , 供 以 后 仲裁 所 需 。 


7. 业务 流量 填充 机 制 


业务 流量 填充 机 制 主要 是 对 抗 非法 者 在 线路 上 监听 数据 并 对 其 进行 流量 和 流向 分 
析 。 攻 击 者 有 时 能 够 根据 数据 交换 的 出 现 /消失 、 数 量 或 频率 而 提取 有 用 的 信息 。 数 据 交 
换 量 的 突然 改变 也 可 能 泄露 有 用 信息 。 例 如 , 当 公司 开始 出 售 它 在 股票 市 场 上 的 份额 时 ， 
在 消息 公开 前 的 准备 阶段 ,公司 可 能 与 银行 有 大 量 通信 。 因 此 ,对 购买 该 股票 感 兴趣 的 人 
就 可 以 密切 关注 公司 与 银行 之 间 的 数据 流量 以 了 解 是 否 可 以 购买 。 
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流量 填充 机 制 能 够 保持 流量 基本 人 恒定 ,因此 ,观测 者 不 能 获取 任何 信息 。 流 量 填 充 的 
实现 方法 是 : 随机 生成 数据 并 对 其 进行 加 密 ,再 通过 网 络 发 送 。 


8. 路 由 控制 机 制 


路 由 控制 机 制 可 根据 信息 发 送 者 的 申请 选择 安全 路 径 。 这 样 , 可 以 选择 那些 可 信 的 
网 络 节点 ,从 而 确保 数据 不 会 暴露 在 安全 攻击 之 下 。 而 且 , 如 果 数 据 进入 某 个 没有 正确 安 
全 标志 的 专用 网 络 时 ,网 络 管理 员 可 以 选择 拒绝 该 数据 包 。 


1.4 计算 机 网 络 系统 的 安全 评估 


计算 机 网 络 系统 的 安全 评估 是 对 系统 安全 性 的 检验 和 监督 。 系 统 安全 评估 包括 构成 
计算 机 系统 的 物理 网 络 和 系统 的 运行 过 程 、 系 统 提供 的 服务 及 这 种 过 程 与 服务 中 的 管理 、 
保证 能 力 的 安全 评估 ,一般 来 说 包括 如 下 几 个 方面 。 

(1) 明确 该 系统 的 薄弱 环节 。 

(2) 分 析 利 用 这 些 薄弱 环节 实施 威胁 的 可 能 性 。 

(3) 评估 如 果 每 种 威胁 都 成 功 所 带 来 的 后 果 。 

(4) 估计 每 种 攻击 的 代价 。 

(5) 估算 出 将 采取 的 应 对 措施 的 费用 。 

(6) 选取 恰当 的 安全 机 制 。 

计算 机 系统 的 安全 评估 可 以 确保 系统 连续 正常 运行 ,确保 信息 的 完整 性 和 可 靠 性 ,及 
时 发 现 系 统 存在 的 薄弱 环节 ,采取 必要 的 措施 ,杜绝 不 安全 因素 。 另 外 ,有 了 安全 评估 并 
不 意味 着 可 以 高 枕 无 忧 ,因为 要 在 技术 上 做 到 完全 的 安全 保护 是 不 可 能 的 。 所 以 ,评估 的 
目标 应 该 是 使 攻击 所 花 的 代价 足够 高 ,从 而 把 风险 降低 到 可 接受 的 程度 。 

由 于 计算 机 系统 用 途 及 应 用 范围 的 不 断 扩 大 ,不 同 的 环境 对 系统 可 靠 性 、 安 全 性 、 保 
密 性 的 要 求 各 不 相同 ,这 就 要 求 有 一 个 定量 或 定性 的 安全 评估 标准 。 这 样 的 标准 是 系统 
安全 评估 的 依据 ,也 是 计算 机 软 /硬件 生产 厂家 衡量 其 产品 是 否 符合 系统 安全 要 求 的 依 
据 。 它 不 仅 有 利于 安全 产品 的 规范 化 ,同时 也 有 利于 保证 产品 安全 的 可 信 性 、 可 更 新 性 和 
可 扩展 性 。 这 个 安全 评估 标准 的 重要 性 在 于 以 下 几 个 方面 。 

(1) 用 户 可 依据 标准 ,选用 符合 自己 应 用 安全 级 别 的 ,评定 了 安全 等 级 的 计算 机 系 
统 ,然后 在 此 基础 上 再 采取 安全 措施 。 

(2) 一 个 计算 机 系统 是 建立 在 相应 的 操作 系统 之 上 的 ,离开 操作 系统 的 安全 ,也 就 无 
法 保证 整个 计算 机 系统 的 安全 。 所 以 ,软件 生产 厂商 应 该 满足 用 户 的 需求 ,提供 各 种 安全 
等 级 的 操作 系统 。 

(3) 建立 系统 中 其 他 部 件 ( 如 数据 库 系统 、 应 用 软件 .计算机 网 络 等 ) 的 安全 评估 标 
准 , 可 以 使 它们 配合 并 适应 相应 的 操作 系统 ,以 实现 更 完善 的 安全 性 能 。 

基于 上 述 原因 ,世界 各 国都 先后 制定 了 相应 的 计算 机 系统 的 安全 评估 标准 。 
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第 一 个 有 关 信 息 技术 安全 评价 的 标准 诞生 于 20 世纪 80 年 代 的 美国 。1983 年 ,美国 
国防 部 发 布 了 * 可 信 计 算 机 评估 标准 ”, 简 称 桔 皮 书 。1985 年 对 此 标准 进行 了 修订 ,之 后 
作为 美国 国防 部 的 标准 。20 世纪 90 年 代 , 由 于 Internet 技术 的 广泛 应 用 , 面 对 计 算 机 系 
统 安全 出 现 的 许多 新 问题 ,美国 又 颁布 了 联邦 评测 标准 (FC) 草 案 , 用 以 代替 80 年 代 颁布 
的 桔 皮 书 。 此 外 ,美国 还 与 加 拿 大 和 欧洲 联合 研制 了 信息 技术 安全 评价 通用 标准 
(CCITSE) ,简称 为 CC 标准 。 该 标准 发 布 的 目的 是 建立 一 个 各 国都 能 接受 的 通用 安全 评 
价 准 则 。 在 欧洲 ,英国 、 荷 兰 和 法 国 带头 联合 研制 欧洲 共同 的 安全 评测 标准 ,并 于 1991 年 
颁布 ITSEC( 信 息 技术 安全 标准 )。1993 年 ,加 拿 大 发 布 加 拿 大 可 信 计 算 机 产品 评估 标准 
(CTCPEC)。 在 安全 体系 结构 方面 ,ISO 制定 了 国际 标准 ISO 7498 一 2 一 1989《 信 息 处 理 
系统 ”开放 系统 互联 基本 参考 模型 ”第 2 部 分 : 安全 体系 结构 》。 这 些 标准 主要 覆盖 如 
下 领域 。 

(1) 加 密 标准 。 定 义 了 加 密 的 算法 、 加 密 的 步骤 和 基本 数学 要 求 。 目 标 是 将 公开 数 
据 转换 为 保密 数据 ,在 存储 载体 和 公用 网 或 专用 网 上 使 用 ,实现 数据 的 隐私 性 和 已 授权 人 
员 的 可 读 性 。 

(2) 安全 管理 标准 。 它 阐述 的 是 安全 策略 ,安全 制度 ,安全 守则 和 安全 操作 。 旨 在 为 
一 个 机 构 提供 用 来 制定 安全 标准 、 实 施 有 效 安全 管理 时 的 通用 要 素 , 并 使 跨 机 构 的 交易 得 
以 互信 。 

(3) 安全 协议 标准 。 协 议 是 一 个 有 序 的 过 程 , 协 议 的 安全 漏洞 可 以 使 认证 和 加 密 的 
作用 前 功 尽 弃 。 常 用 的 安全 协议 有 IP 的 安全 协议 .可 移动 通信 的 安全 协议 等 。 

(4) 安全 防护 标准 。 它 的 内 容 包 括 防 人 侵 、 防 病毒 、 防 辐射 \ 防 干扰 和 物理 隔离 ,也 包 
括 存 取 访 问 、 远 程 调用 、 用 户 下 载 等 方面 。 

(5) 身份 认证 标准 。 身 份 认 证 是 信息 和 网 络 安全 的 首 关 . 它 也 同 访问 授权 和 访问 权 
限 相连 。 身 份 认证 还 包括 数字 签名 标准 .数字 标准 .眼睛 识别 标准 等 。 

(6) 数据 验证 标准 。 包 括 数据 保密 压缩 数字 签名 .数据 正确 性 和 完整 性 的 验证 。 

(7) 安全 评价 标准 。 其 任务 是 提供 安全 服务 与 有 关机 制 的 一 般 描述 ,确定 可 以 提供 
这 些 服务 与 机 制 的 位 置 。 

(8) 安全 审计 标准 。 包 括 对 涉及 安全 事件 的 记录 日 志和 审计 ,对 攻击 和 违规 事件 的 
探测 ,记录 ,收集 和 控制 。 

1994 年 ,国务 院 发 布 T《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 其 中 第 九 
条 规定 :“ 计 算 机 信息 系统 实行 安全 等 级 保护 。 安 全 等 级 的 划分 和 安全 等 级 保护 的 具体 
办 法 由 公安 部 会 同 有 关 部 门 制定 ”公安 部 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 
条 例 ) 发 布 实施 后 便 开始 了 计算 机 信息 系统 安全 等 级 保护 的 研究 和 准备 工作 。 等 级 管理 
的 思想 和 方法 具有 科学 、 合 理 , 规 范 ,便于 理解 .掌握 和 运用 等 优点 。 因 此 ,对 计算 机 信息 
系统 实行 安全 等 级 保护 制度 ,是 我 国 计 算 机 信息 系统 安全 保护 工作 的 重要 发 展 思想 ,对 正 
在 发 展 中 的 信息 系统 安全 保护 工作 更 有 着 十 分 重要 的 意义 。 

目前 ,计算 机 系统 安全 评价 标准 的 一 个 发 展 趋势 是 建立 最 基本 稳定 和 经 济 的 操作 系 
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统 评价 标准 ,在 此 基础 上 再 制定 其 他 系统 的 安全 评价 标准 。 世 界 各 国 也 正在 为 安全 标准 
的 完善 进行 广泛 的 接触 和 交流 ,并 使 其 有 了 逐渐 统一 的 趋势 。 


142 计算 机 网 络 系统 的 安全 等 级 


常见 的 计算 机 系统 安全 等 级 的 划分 有 两 种 : 一 种 是 美国 国防 部 于 1985 年 发 表 的 评 
估计 算 机 系统 安全 等 级 的 桔 皮 书 , 将 计算 机 系统 的 安全 划分 为 4 个 等 级 .7 个 级 别 , 即 A、 
B3、B2、B1、C2、C1、D; 另 一 种 是 依据 我 国 颁布 的 (计算 机 信息 系统 安全 保护 等 级 划分 准 
则 》(GB 17859 一 1999) ,该 准则 是 计算 机 信息 系统 安全 保护 的 法 律 基础 ,将 计算 机 安全 等 
级 划分 为 5 级 ,下 面 分别 做 出 简要 说 明 。 


1. 美国 颁布 的 桔 皮 书 


(1) DD 级 ( 非 保护 级 ) 

这 是 可 用 的 最 低 安 全 形式 。 该 标准 说 明 整 个 计算 机 系统 是 不 可 信任 的 ,对 于 硬件 来 
说 ,没有 任何 保护 可 用 ;操作 系统 很 容易 被 侵袭 。D 级 计算 机 系统 标准 规定 对 用 户 没 有 验 
证 ,也 就 是 任何 人 都 可 以 自由 地 使 用 该 计算 机 系统 。 系 统 不 要 求 用 户 进行 登记 (要 求 提供 
用 户 名 ) 或 口令 保护 (要 求 提供 唯一 的 字符 串 来 进行 访问 ) 。 任 何人 都 可 以 坐 在 计算 机 前 
使 用 它 。D 级 的 计算 机 系统 包括 MS-DOS、Windows 3.x、Windows 95, 以 及 Apple 的 
System 7.x。 

(2) Cl 级 

C1 级 也 称 自主 安全 保护 系统 ,系统 对 硬件 要 求 有 某 种 程度 的 保护 (如 硬件 带 锁 装置 
和 需要 钥匙 才能 使 用 计算 机 等 ), 用 户 必须 登录 到 系统 以 便 系统 识别 他 们 。C1 级 系统 还 
要 求 具 有 完全 访问 控制 的 能 力 , 应 当 允 许 系统 管理 员 为 一 些 程序 或 数据 设立 访问 许可 权 
限 。Cl 级 防护 的 不 足 之 处 在 于 用 户 可 直接 访问 操作 系统 的 根 ,不 能 阻止 系统 账户 执行 活 
动 。 常 见 的 Cl 级 兼容 计算 机 系统 如 UNIX、XENIX、Novell 3.x 或 更 高 版 本 、Windows NT。 

(3) C2 级 

C2 级 也 称 可 控 安全 保护 级 , 它 解决 Cl 级 的 某 些 不 足 之 处 并 加 强 了 几 个 安全 特征 。 
C2 级 具有 进一步 限制 用 户 执行 某 些 命令 或 访问 某 些 文件 的 能 力 , 这 不 仅 基于 许可 权限 ， 
而 且 基于 身份 验证 。 对 于 一 个 C2 系统 的 用 户 来 说 ,使 用 附加 身份 验证 ,可 以 在 没有 根 口 
令 的 情况 下 执行 系统 管理 任务 ,这 可 以 更 好 地 完成 追踪 与 系统 管理 有 关 的 任务 。 

另外 ,这 种 安全 级 别 要 求 对 系统 加 以 审核 ,包括 为 系统 中 发 生 的 每 个 事件 编写 一 个 审 
核 记 录 ,以 跟踪 记录 与 安全 有 关 的 所 有 事件 。 常 见 的 C2 级 操作 系统 有 UNIX、XENIX、 
Novell 3.x 或 更 高 版 本 、Windows 2000。 

(4) Bl 级 

Bl 级 也 称 标记 安全 保护 级 系统 ,支持 多 级 安全 ,多 级 是 指 这 一 安全 保护 安装 在 不 同 
级 别 的 系统 中 (网 络 .应 用 程序 .工作 站 等 ) , 它 对 敏感 信息 提供 更 高 级 的 保护 ,如 安全 级 别 
可 以 分 为 解密 、 保 密 和 绝密 级 别 。 

(5) B2 级 

B2 级 也 称 结构 化 的 保护 。B2 级 安全 要 求 计算 机 系统 中 所 有 对 象 加 标签 ,而 且 给 设 
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备 ( 如 工作 站 ,终端 和 磁盘 驱动 器 ) 分 配 安全 级 别 。 如 用 户 可 以 访问 一 台 工 作 站 ,但 可 能 不 
允许 访问 含有 重要 资料 的 子 系统 。 

(6) B3 级 

B3 级 也 称 强制 安全 区 域 级 ,系统 使 用 安装 硬件 的 办 法 来 加 强 域 ,如 内 存 管 理 硬件 用 
于 保护 安全 域 免 受 无 授权 的 访问 或 其 他 安全 域 对 象 的 修改 。 该 级 别 也 要 求 用 户 终端 通过 
一 条 可 信任 途径 连接 到 系统 上 。 其 主要 特征 是 高 抗 渗透 能 力 ,可 信 恢 复 用 于 绝密 、 机 密 信 
息 的 保护 ,即使 系统 崩溃 ,信息 也 不 会 泄密 。 

(7) A 级 

A 级 也 称 验证 设计 级 ,是 桔 皮 书 中 的 最 高 安全 级 别 。A 级 除了 包括 其 下 面 各 级 的 所 
有 特性 ,还 有 一 个 安全 系统 受 监 视 的 设计 要 求 ,合格 的 安全 个 体 必须 分 析 并 通过 这 一 设 
计 。 另 外 ,必须 采用 严格 的 形式 化 方法 来 证 明 该 系统 的 安全 性 。 在 A 级 ,所 有 构成 系统 
的 部 件 的 来 源 必须 保证 安全 ,这 些 安全 措施 还 必须 担保 在 销售 过 程 中 这 些 部 件 不 受 损害 。 
例如 ,在 A 级 设置 中 ,一 个 磁带 驱动 器 从 生产 厂房 直至 计算 机 房 都 得 到 严密 的 跟踪 。A 
级 安全 系统 用 于 绝密 级 信息 的 保护 。 

美国 的 计算 机 安全 等 级 评估 标准 虽然 非常 盛行 ,但 它 只 是 着 重 规定 了 某 些 操作 系统 
的 安全 等 级 ,而 将 之 作为 一 个 综合 的 评估 标准 还 显得 不 完善 。 


2. 我 国 颁布 的 安全 准则 


从 2001 年 1 月 1 日 起 ,我 国 实施 强制 性 国家 标准 (计算 机 信息 安全 保护 等 级 划分 准 
则 》。 该 准则 是 建立 安全 等 级 保护 制度 、 实 施 安全 等 级 管理 的 重要 基础 性 标准 。 它 将 计算 
机 信息 系统 安全 保护 划分 为 5 个 等 级 ,从 低 到 高 依次 如 下 。 

(1) 用 户 自主 保护 级 

本 级 的 安全 保护 机 制 通过 隔离 用 户 与 数据 ,使 用 户 具备 自主 安全 保护 能 力 ,从 而 保护 
用 户 和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 写 和 破坏 。 

(2) 系统 审计 保护 级 

本 级 的 安全 保护 机 制 除 具备 用 户 自主 保护 级 的 所 有 安全 保护 功能 外 ,还 要 求 创建 和 
维护 访问 的 审计 跟踪 记录 ,使 所 有 用 户 对 自己 行为 的 合法 性 负责 。 

(3) 安全 标记 保护 级 

本 级 的 安全 保护 机 制 有 系统 审计 保护 级 的 所 有 功能 ,并 为 访问 者 和 访问 对 象 指定 安 
全 标记 ,以 访问 对 象 标记 的 安全 级 别 限制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 
保护 。 

(4) 结构 化 保护 级 

本 级 的 安全 保护 机 制 具 备 安全 标记 保护 级 的 所 有 安全 功能 ,并 将 安全 保护 机 制 划分 
成 关键 部 分 和 非 关 键 部 分 相 结合 的 结构 ,其 中 关键 部 分 直接 控制 访问 者 对 访问 对 象 的 存 
取 。 本 级 具有 相当 强 的 抗 渗透 能 力 。 

(5) 访问 验证 保护 级 

本 级 的 安全 保护 机 制 具备 结构 化 保护 级 的 所 有 功能 ,并 特别 增设 访问 验证 功能 ,负责 
仲裁 访问 者 对 访问 对 象 的 所 有 访问 活动 。 本 级 具有 极 强 的 抗 渗透 能 力 。 
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《计算 机 信息 系统 安全 保护 等 级 划分 准则 ) 就 是 要 从 安全 整体 上 进行 保护 ,从 整体 上 、 
根本 上 、 基 础 上 来 解决 等 级 保护 问题 。 要 建立 良好 的 国家 整体 保护 制度 ,标准 体系 是 
基础 。 

《计算 机 信息 系统 安全 保护 等 级 划分 准则 》 的 配套 标准 分 为 两 类 : 一 是 (计算 机 信息 
系统 安全 保护 等 级 划分 准则 应 用 指南 》, 它 包括 技术 指南 、 建 设 指南 和 管理 指南 ;二 是 ( 计 
算 机 信息 系统 安全 保护 等 级 评估 标准 》, 它 包括 安全 操作 系统 、 安 全 数据 库 、 网 关 、 防 火 墙 、 
路 由 器 和 身份 认证 管理 等 。 目 前 ,国家 正在 组 织 有 关 单 位 完善 信息 系统 安全 保护 制度 的 
标准 。 


<D> [条例 】 使 用 扫描 工具 XXSaan 检 测 系 统 沁 泣 


案例 分 析 

利用 扫描 工具 可 以 对 计算 机 系统 进行 安全 漏洞 扫描 ,通过 扫描 结果 对 计算 机 系统 的 
安全 性 进行 评估 ,并 采取 相应 的 安全 技术 和 管理 措施 。 
操作 环境 


(1) 连 上 Internet 的 主机 或 局 域 网 主机 。 
(2) Windows XP/2003 系统 。 
(3) X-Scan 3. 3 扫描 器 。 


操作 步 双 
第 1 步 i 即 可 打开 其 操作 窗口 ,如 图 1.15 所 示 。 
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图 1.15 X-Scan 主 窗口 
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第 2 步 选择 "设置 "~ 扫描 参数 "命令 ,打开 “扫描 参数 "窗口 ,在 “检测 范围 "模块 的 
“指定 IP 范围 ?文本 框 中 输入 要 检测 的 目标 主机 的 域名 或 IP 地 址 ,也 可 以 对 多 个 IP 地 址 
进行 检测 (如 输入 “192. 168. 0. 1-192. 168. 0. 255” 来 对 处 于 这 个 网 段 的 所 有 主机 进行 检 
测 ), 如 图 1.16 所 示 。 


图 1.16 “扫描 参数 "窗口 


第 3 步 ”在 “全 局 设置 "模块 中 ,可 以 对 要 扫描 的 模块 端口 等 进行 设置 , “扫描 模块 ” 
选项 用 于 检测 对 方 主机 的 一 些 服务 和 端口 等 情况 ,可 以 全 部 检测 或 只 检测 部 分 服务 ,如 
图 1.17 所 示 。“ 并 发 扫描 ”选项 用 于 设置 检测 时 的 最 大 并 发 主机 和 并 发 线程 的 数量 。“ 扫 
描 报 告 ” 选 项 用 于 设置 扫描 结束 所 产生 的 报告 文件 名 和 类 型 。 这 里 假设 选择 HTML 类 
型 ,如 图 1.18 所 示 。 


OOOOOOROORRIORKICRISRIN 


图 1.17 扫描 模块 设置 


报 省 文件 : 
Pechost report Hu 


报 洁 文件 类 型 : 


图 1.18 扫描 报告 设置 


在 “其 他 设置 ”中 可 设置 “ 跳 过 没有 响应 的 主机 ”功能 ,如 果 对 方 禁 止 了 Ping 操作 或 防 
火 墙 的 设置 使 其 没有 响应 , 则 X-Scan 将 会 自动 跳 过 ,接着 检测 下 一 台 主 机 。 如 果 选 择 了 
“无 条 件 扫 描 ?” 功 能 , 则 X-Scan 将 会 对 目标 主机 进行 详细 检测 ,得 到 的 结果 相对 详细 、 准 
确 , 但 扫描 时 间 会 延长 ,对 单个 主机 进行 扫描 一 般 会 采用 这 种 方式 。 具 体 如 图 1. 19 所 示 。 


图 1.19 其 他 设置 


第 4 步 在 “插件 设置 "模块 中 ,可 以 对 插件 进行 一 些 必要 的 检测 。 

在 “端口 相关 设置 ”中 可 自 定义 一 些 需要 检测 的 端口 ,检测 方式 分 TCP 和 SYN 两 种 ， 
TCP 方式 容易 被 对 方 发 现 ,但 准确 性 要 高 一 些 ;SYN 则 相反 ,如 图 1. 20 所 示 。 

“SNMP 相关 设置 ”选项 主要 是 针对 SNMP 信息 的 一 些 检测 设置 。“NETBIOS 相关 
设置 ?选项 是 针对 Windows 系统 NETBIOS 信息 的 检测 设置 ,包括 的 项 目 有 很 多 ,只 需要 
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C6I 相 关 设置 
字典 文件 设置 


图 1.20 端口 相关 设置 


选择 使 用 的 内 容 即 可 。“ 漏 洞 检测 脚本 设置 "“CGI 相关 设置 "和 “字典 文件 设置 "等 功能 
直接 采用 默认 设置 就 可 以 了 。 

第 5 步 在 设置 好 上 述 模 块 之 后 ,返回 
X-Scan 主 窗口 中 单 击 户 按 钮 , 即 可 出 现 如 图 1. 21 
所 示 的 进度 提示 框 。 

第 6 步 漏洞 检测 脚本 加 载 完 毕 就 可 以 
进行 漏洞 检测 了 ,具体 检测 过 程 如 图 1. 22 所 示 。 如 果 检 测 到 漏洞 , 则 可 以 在 “漏洞 信息 ” 
列表 框 查看 。 


图 1.21 加 载 漏洞 检测 脚本 提示 框 
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1.22 ”漏洞 检测 过 程 


[DO | 第 1 章 网 络 安全 概述 ] | > | 


第 7 步 ”扫描 结束 之 后 ,将 自动 弹出 检测 报告 ,包括 漏洞 的 风险 级 别 和 详细 的 信息 ， 
以 便 对 所 扫描 的 主机 进行 分 析 , 如 图 1. 23 所 示 。 
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图 1.23 漏洞 检测 结果 


本 章 小 结 


计算 机 网 络 安全 是 指 保持 网 络 中 的 硬件 ,软件 系 统 正常 运行 ,使 它们 不 因 自 然 和 人 为 
的 因素 而 被 破坏 、 更 改 和 泄露 。 网 络 受 到 的 威胁 来 自 于 网 络 的 内 部 和 外 部 两 个 方面 。 

为 实现 开放 系统 互联 网 环境 下 的 信息 安全 ,ISO 7498 一 2 国际 标准 描述 了 实现 OSI 
参考 模型 之 间 安 全 通信 所 必须 提供 的 安全 服务 和 安全 机 制 。 

计算 机 系统 的 安全 评估 是 对 系统 安全 性 的 检验 和 监督 。 在 我 国 ,常见 的 计算 机 系统 
安全 等 级 的 划分 有 两 种 : 一 种 是 依据 美国 国防 部 发 表 的 评估 计算 机 系统 安全 等 级 的 桔 皮 
书 , 将 计算 机 安全 等 级 划分 为 4 个 等 级 .7 个 级 别 ; 另 一 种 是 我 国 颁布 的 (计算 机 信息 系统 
安全 保护 等 级 划分 准则 》, 将 计算 机 安全 等 级 划分 为 5 级 。 


本 章 练习 
一 、 填空 题 
1. 一 个 安全 的 网 络 体系 至 少 应 包括 三 类 措施 , 即 
2. 网络 安全 主要 包括 和 运行 安全 等 方面 。 
3. 一 个 安全 的 网 络 具有 如 下 五 个 特征 : , 5 


| Co [人] 


4. 网 络 的 安全 机 制 包 括 S 
和 
5. 依据 美国 国防 部 发 表 的 评估 计算 机 系统 安全 等 级 的 桔 皮 书 , 将 计算 机 安全 等 级 划 
分 为 个 等 级 个 级 别 。 
-、 选 择 题 
1. 保护 计算 机 网 络 设备 免 受 环境 事故 的 影响 属于 信息 安全 的 。 


A. 人 员 安 全 B. 物理 安全 C. 数据 安全 D. 操作 安全 
2. 有 些 计算 机 系统 的 安全 性 不 高 ,不 对 用 户 进行 验证 ,这 类 系统 安全 级 别 


是 。 
A. D B. Al C. Cl D. C2 
3. 保证 数据 的 完整 性 就 是 。 


A. 保证 Internet 上 传送 的 数据 信息 不 被 第 三 方 监视 
B. 保证 Internet 上 传送 的 数据 信息 不 被 算 改 
C. 保证 电子 商务 交易 各 方 的 真实 身份 
D. 保证 发 送 方 不 抵赖 曾经 发 送 过 某 数 据 信息 
4. 某 种 网 络 安全 威胁 是 通过 非法 手段 取得 对 数据 的 使 用 权 , 并 对 数据 进行 恶意 地 添 


加 和 修改 ,这 种 安全 威胁 属于 。 
A. 窃听 数据 B. 破坏 数据 完整 性 
C. 拒绝 服务 D. 物理 安全 威胁 
5. 在 网 络 安全 中 ,捏造 是 指 未 授权 的 实体 向 系统 中 插 人 伪造 的 对 象 。 这 是 
对 。 
A. 可 用 性 的 攻击 B. 保密 性 的 攻击 
C. 完整 性 的 攻击 D. 真实 性 的 攻击 
三 、 简 答题 
1. 什么 是 网 络 安全 ? 网 络 安全 包括 哪些 方面 ? 
2. 网 络 系 统 本 身 存 在 哪些 安全 漏洞 ? 
3. 网 络 面临 的 威胁 有 哪些 ? 
4. 怎样 理解 网 络 系统 的 脆弱 性 ? 
5. 网 络 的 服务 机 制 有 哪些 ? 安全 机 制 有 哪些 ? 


实 训 ”常用 DOS 命令 操作 


实 训 目的 
掌握 常用 DOS 命令 的 操作 方法 。 


实 训 环境 
(1) 连 上 Internet 的 主机 或 局 域 网 主机 
(2) Windows 2003/XP/2007 系统 。 
实 训 步 又 
第 1 步 ping 
功能 : 测试 网 络 是 否 连通 
例 1 C:\>ping 192. 168. 10. 243 
测试 与 主机 192. 168. 10. 243 是 否 连 通 ,如 图 1. 24 所 示 。 


ratoryping 192.168.19.243 


图 1.24 测试 与 主机 192. 168. 10. 243 的 连通 性 


第 2 步 ipconfig 

功能 : 查看 和 修改 网 络 中 的 TCP/IP 协议 的 相关 配置 

例 2 C:\>ipconfig。 

查看 当前 主机 TCP/IP 协议 的 相关 配置 ,如 图 1. 25 所 示 。 


图 1.25 查看 当前 主机 TCP/IP 协议 的 相关 配置 
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第 3 步 dir 

功能 : 列 出 当前 路 径 下 的 文件 目录 

例 3 C:\>dir。 

列 出 C 盘 下 的 文件 目录 ,如 图 1. 26 所 示 


图 1.26 列 出 文件 目录 


第 4 步 md 

功能 : 在 当前 目录 下 建立 文件 夹 

例 4 C:\>md wangluo 

在 C 盘 根 目 录 下 建立 文件 夹 ,如 图 1. 27 所 示 
第 5 步 echo 

功能 : 文本 建立 命令 。 

例 5 建立 一 个 内 容 如 下 ,文件 名 为 1. txt 的 文件 ,如 图 1. 28 所 示 。 


图 1.27 在 C 盘 根 目录 下 
建立 文件 夹 


你 好 ! 
我 是 中 职 的 学 生 


图 1.28 建立 文件 名 为 1.txt 的 文件 


命令 如 下 : 

C:\>echo ”你 好 !>>1.bxt 

C:\>eqho ”我 是 中 职 的 学 生 >>1.txt 

第 6 步 type 

功能 : 显示 指定 文件 的 内 容 。 

例 6 C:\>type 1. txt。 

显示 1. txt 文件 的 内 容 , 如 图 1. 29 所 示 
第 7 步 del 

功能 : 删除 指定 文件 。 

例 7 C:\>del 1. txt。 

删除 C 盘 的 1. txt 文件, 如 图 1. 30 所 示 。 
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图 1.29 显示 1.txt 文 件 的 内 容 图 1.30 删除 C 盘 的 1.txt 文 件 


第 8 步 ”net 

功能 : 管理 网 络 环境 、 服 务 、 用 户 及 登录 等 本 地 信息 的 命令 ,后 面 加 上 相应 的 参数 , 训 
构成 了 相应 的 网 络 管理 命令 。 

(1) net user 

功能 : 系统 账号 管理 。 

例 8 建立 一 个 账号 为 1、 密码 为 1 的 用 户 ,如 图 1. 31 所 示 , 该 命令 执行 的 结果 如 
图 1. 32 所 示 。 


和 


Ee 


图 1.31 建立 一 个 账号 为 1、 密 码 为 1 的 用 户 


格式 : 


net user 用 户 名 ”密码 /ada 
net user 1 1 /add 


1.32 ”net user 命令 执行 结果 


(2) net stop* 服 务 名 ” 
功能 : 停止 某 系 统 服 务 
例 9 net stop Telnet 


停止 Telnet 服务 ,如 图 1. 33 所 示 。 
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1.33 ”停止 Telnet 服务 


(3) net start* 服 务 名 ” 
功能 : 启动 某 系统 服务 
例 10 net start Telnet 


启动 Telnet 服务 ,如 图 1. 34 所 示 


图 1.34 启动 Telnet 服务 


(4) net config 命令 


功能 : 显示 当前 运行 的 可 配置 服务 或 显示 并 修改 某 项 服务 的 设置 。 
例 11 @D C:\net config 显示 当前 主机 运行 的 可 配置 服务 ,如 图 1. 35 所 示 。 
© C:\net config Workstation, 


©®@ C:\net config Server。 


图 1.35 显示 当前 主机 运行 的 可 配置 服务 


(5) net localgroup 

功能 : 增加 、 显 示 、 更 改 本 地 组 。 常 用 来 提升 本 地 用 户 权限 
例 12 C:\net localgroup 查看 本 地 用 户 组 

例 13 C:\net use 查看 本 地 用 户 

例 14 C:\net localgroup administrators 1 /add 


将 用 户 名 为 1 的 权限 提升 为 管理 员 权限 ,如 图 1. 36 所 示 


1.36 将 用 户 名 为 1 的 权限 提升 为 管理 员 权限 


例 15 C:\ net localgroup administrators 1 /del 
(6) net share 

功能 : 显示 、 创 建 及 删除 共享 资源 

例 16 C:\>net share 

查看 当前 计算 机 中 的 共享 资源 ,如 图 1. 37 所 示 
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图 1.37 查看 当前 计算 机 中 的 共享 资源 
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例 17 C:\>net share s=D:\wanluo。 

将 D 盘 的 wanluo 文件 夹 共 享 为 文件 名 称 为 S 的 共享 文件 夹 。 
(7) netstat -an 

功能 : 查看 系统 当前 开放 的 端口 和 连接 

例 18 C:\>netstat -an。 

查看 系统 当前 开放 的 端口 和 连接 ,如 图 1. 38 所 示 。 


9.9 TENING 
9.0.0.8 
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8.0.9.8:9 8.9.9.0:8 
.日 8.B.B.8:8 
123 -8- 昌 -4 
9 06.8.9.0:9 
0.0.0:445 wsw 
-8-B-8:588 
8-0. 
.8.0.8 
8.9.8 
.0.0.8:18: 
.8.0.0 
9.0.0. 
0.9.8 
8.0.0.0:38 


1.38 查看 系统 当前 开放 的 端口 和 连接 


(8) at 
功能 : 在 目标 主机 上 添加 计划 任务 ,如 图 1. 39 所 示 


INNT\system32\cmd.exe 


92.168.9.79 28:58 D 


图 1.39 在 目标 主机 上 添加 一 项 计划 服务 


例 19 C:N\>at 查看 当前 打开 的 计划 

例 20 C:\>at \\192.168.0.70 20: 50 D:\muma. exe 在 指定 的 IP 上 添加 
-项 计划 服务 。 

例 21 C:N\>at \\192.168.0.70 查看 192. 168.0.70 主机 上 的 计划 服务 。 


知识 目标 
。 了解 TCP/IP 协议 及 其 工作 原理 ,了 解 以 太 网 的 工作 原理 。 
。 掌握 使 网 络 通信 不 安全 的 因素 ,了 解 TCP/IP 服务 的 脆弱 性 。 
。 了 解 网 络 协议 存在 的 安全 问题 。 

技能 目标 
。 能 够 使 用 工具 捕获 、 分 析 网 络 数据 。 
。 能 够 对 通信 协议 采用 相应 的 安全 措施 。 


计算 机 网 络 的 基础 是 网 络 通信 协议 。 保 证 通信 协议 的 安全 对 计算 机 网 络 的 安全 有 重 
要 的 意义 。 


2.1 TCP/IP 协议 


TCP/IP 协议 是 先 于 OSI 模型 开发 的 ,并 不 符合 OSI 标准 。TCP/IP 模型 是 于 1974 
年 首先 定义 的 ,而 设计 标准 的 制定 则 在 20 世纪 80 年 代 后 期 完成 。TCP/IP 实际 上 是 由 
一 组 协议 组 成 ,是 当前 Internet 使 用 的 最 流行 的 网 络 * 标 准 ”, 虽 然 它 并 不 是 国际 标准 ,但 
由 于 由 它 所 构成 的 系统 经 过 时 间 的 考验 ,日 至 成 熟 ,基于 这 个 协议 的 网 上 应 用 量 大 且 面 
广 ,所 以 这 些 年 来 , 它 已 经 成 为 事实 上 的 国际 标准 。 

构成 TCP/IP 的 协议 有 很 多 。 传 输 层 的 TCP 协议 、 网 际 互联 层 的 IP 协议 和 许多 别 
的 协议 共同 构成 了 TCP/IP 协议 族 。 其 中 最 重要 的 两 个 核心 协议 是 TCP 协议 与 了 
协议 。 

1. TCP/IP 协议 及 其 工作 原理 


TCP/IP 协议 由 TCP 协议 和 IP 协议 组 成 ,它们 是 在 Internet 上 的 两 个 网 络 协议 ,分 
别 叫 作 传输 控制 协议 和 互联 网 协议 ,属于 众多 TCP/IP 协议 族 中 的 一 部 分 。 

TCP/IP 协议 族 中 的 协议 保证 Internet 上 各 种 类 型 的 计算 机 之 间 的 数据 传输 ,提供 
了 几乎 现在 上 网 用 到 的 包括 电子 邮件 传输 ,文件 传输 .BBS、 新 闻 组 的 发 布 及 访问 WWW 
的 所 有 服务 等 。 
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(1) TCP/IP 协议 的 四 层 模型 
从 协议 分 层 模 型 方面 来 看 ,TCP/IP 由 4 个 层次 组 成 , 即 网 络 接口 层 、 网 间 网 层 \ 传 输 
层 和 应 用 层 , 如 图 2. 1 所 示 。 


HTTP SMTP INS FTP SNMP RPC 应 用 层 协议 
TCP UDP 传输 层 协议 
IP ARP ICMP IGMP 网 间 网 层 协议 
Ethernet Token Ring 网 络 接口 层 协议 


图 2.1 TCP/IP 协议 的 4 层 模型 


J@ 网 络 接口 层 。 网 络 接口 层 处 于 TCP/IP 协议 的 最 底层 ,负责 接收 IP 数据 报 并 通 
过 网 络 发 送 ,或 者 从 网 络 上 接收 物理 帧 ,抽出 IP 数据 报 , 交 给 IP 层 。 

@ 网 间 网 层 。 网 间 网 层 负责 相 邻 计算 机 之 间 的 通信 ,其 功能 包括 : 处 理 来 自传 输 层 
的 分 组 发 送 请 求 , 收 到 请 求 后 ,将 分 组 装 入 IP 数据 报 ,填充 报头 ,选择 去 往 目标 机 的 路 径 ， 
然后 将 数据 报 发 往 适当 的 网 络 接 口 ;处 理 输 入 数据 报 , 首 先 检查 其 合法 性 ,然后 进行 寻 径 ， 
假如 该 数据 报 已 到 达 目 标 机 , 则 去 掉 报 头 ,将 剩 下 部 分 交 给 适当 的 传输 协议 ,假如 该 数据 
报 尚未 到 达 目 标 机 , 则 转发 该 数据 报 ; 处 理 路 径 ,流量 控制 .拥塞 等 问题 。 

@ 传输 层 。 传 输 层 提供 应 用 程序 间 的 通信 ,其 功能 主要 是 提供 可 靠 传输 。 为 实现 后 
者 ,传输 层 协议 规定 接收 端 必须 发 回 确认 ,并 且 假 如 分 组 丢失 , 则 必须 重新 发 送 。 

@ 应 用 层 。 应 用 层 向 用 户 提供 一 组 常用 的 如 电子 邮件 文件 传输 访问 .远程 登录 等 
应 用 程序 。 远 程 登录 (Telnet) 使 用 Telnet 协议 提供 在 网 络 其 他 主机 上 注册 的 接口 。 
Telnet 会 话 提 供 了 远程 的 虚拟 终端 。 文件 传输 访问 (FTP) 使 用 FTP 协议 来 提供 网 络 内 
节点 的 文件 拷贝 功能 。 

(2) TCP/IP 协议 的 工作 原理 

TCP/IP 通过 协议 栈 工作 ,这 个 栈 是 所 有 用 来 在 两 台 计 算 机 间 完 成 一 个 传输 的 所 有 
协议 的 几 个 集合 。 这 也 是 一 个 通路 ,数据 通过 它 从 一 台 计 算 机 传输 到 另 一 台 计算 机 。 数 
据 在 通过 如 图 2. 1 所 示 的 各 个 层 后 ,就 从 网 络 的 一 台 计 算 机 传输 到 了 另 一 台 计 算 机 。 栈 
的 每 一 层 都 能 从 相 邻 的 层 中 接收 或 发 送 数据 ,每 一 层 都 与 许多 协议 相 联系 。 在 栈 的 每 一 
层 , 这 些 协 议 都 在 起 作用 。 

(3) IP 地 址 

Internet 上 的 计算 机 和 网 络 设备 很 多 ,在 进行 信息 交换 时 必须 先 给 每 台 计 算 机 或 网 
络 设备 取 一 个 名 字 , 称 为 Internet 地 址 , 即 IP 地 址 , 它 是 用 来 表明 网 络 上 的 每 一 台 计 算 机 
或 网 络 设备 身份 的 地 址 ,并 且 是 唯一 的 。 在 Internet 中 .IP 地 址 不 是 任意 分 配 的 , 它 必 须 
由 相应 的 组 织 进行 分 配 ,如 中 国教 育 和 科研 计算 机 网 (CERNET) 的 用 户 必 须 向 
CERNET 网 络 管理 中 心 申请 IP 地 址 。TCP/IP 协议 对 这 个 地 址 做 了 规定 : 一 个 IP 地 址 
由 一 个 32 位 二 进 制 数 表示 , 共 分 为 4 组 ,每 8 位 为 一 组 ,每 组 数字 的 取 值 范围 为 0 一 255， 
相互 之 间 用 圆 点 (. ) 分 隔 , 表 示 形 式 为 X xX X. X XX. 
XXxx.XxxXx, 如 192.168.0.100。 一 个 人 地 址 由 一 
个 网 络 部 分 和 一 个 主机 部 分 组 成 ,如 图 2.2 所 示 。 


网 络 地 址 部 分 主机 地 址 部 分 
图 2.2 IP 地 址 的 格式 
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为 了 有 效 地 利用 地 址 空间 ,根据 选择 的 网 络 地 址 和 主机 地 址 位 数 的 不 同 对 IP 地 址 进 
行 分 类 ,IP 地 址 分 为 A、B、C、D 和 下 五 大 类 ,最 重要 的 是 A 类、B 类 和 C 类 IP 地址 。 

通过 IP 地 址 的 前 三 位 ,就 能 区 分 出 IP 地 址 是 属于 A 类 、B 类 或 C 类 ,如 IP 地 址 的 最 
高 位 为 0, 则 是 A 类 IP 地 址 ,其 第 一 字 节 的 值 为 0 一 127,A 类 IP 地 址 的 主机 容量 为 
16 777 216 台 。B 类 IP 地 址 的 最 高 两 位 为 10, 其 第 一 字 节 的 值 为 128 一 191,B 类 IP 地 址 
的 主机 容量 为 65 536 台 。C 类 IP 地 址 的 最 高 三 位 是 110 ,第 一 字 节 的 值 为 192 一 233 , 主 
机 号 只 有 8 位 ,因此 只 能 有 256 台 主 机 。 

将 IP 地 址 分 成 网 络 和 主机 部 分 ,在 路 由 寻 址 时 非常 有 用 ,可 以 大 大 提高 网 络 的 速度 。 
路 由 器 (router) 就 是 通过 IP 地 址 的 网 络 号 来 决定 是 否 发 送 数据 包 和 将 一 个 数据 包 发 送 
到 什么 地 方 。 

一 个 网 络 设备 可 以 有 多 个 IP 地 址 ,如 连 在 两 个 物理 网 络 上 的 路 由 器 就 有 两 个 IP 地 
址 ,分 别 连 在 两 个 不 同 的 物理 网 络 上 ,所 以 又 可 以 将 IP 地 址 看 成 一 个 网 络 连接 。 网 络 上 
的 代理 服务 器 也 可 能 使 用 两 块 网 卡 ,配置 两 个 属于 不 同 网 络 的 IP 地 址 ,或 使 用 一 块 网 卡 
配置 两 个 属于 不 同 网 络 的 IP 地址 (如 在 Windows NT 操作 系统 中 ), 即 一 个 外 部 网 络 地 
址 ,一 个 内 部 网 络 地 址 。 


2. 以 太 网 


(1) 以 太 网 的 原理 

局 域 网 发 展 到 今天 ,在 实际 应 用 中 已 相当 普及 。 在 各 种 局 域 网 技术 中 ,以 太 网 
(Ethernet) 被 广泛 使 用 。 

以 太 网 是 一 种 产生 较 早 且 使 用 相当 广泛 的 局 域 网 ,以 太 网 最 早 是 由 美国 Xerox( 施 
乐 ) 公 司 创建 的 ,在 1980 年 由 DEC、Intel 和 Xerox 三 家 公司 联合 提出 了 以 太 网 规范 ,这 是 
世界 上 第 一 个 局 域 网 的 技术 标准 。 后 来 的 以 太 网 国际 标准 IEEE 802. 3 就 是 参照 以 太 网 
的 技术 标准 建立 的 ,两 者 基本 兼容 。 为 了 与 后 来 提出 的 快速 以 太 网 相 区 别 ,通常 又 将 这 种 
按 IEEE 802. 3 规范 生产 的 以 太 网 产品 简称 为 以 太 网 。 

几乎 所 有 的 以 太 网 都 遵从 载波 侦 听 多 路 访问 /冲突 检测 (CSMA/CD) 的 通信 和 规则。 
所 有 的 以 太 网 ,不 论 其 速度 或 帧 类 型 是 什么 ,都 使 用 CSMA/CD。 以 太 网 的 存 取 方式 是 一 
种 采用 随机 访问 技术 的 竞争 型 (有 冲突 ) 的 访问 方法 。 因 为 多 台 计 算 机 可 以 同时 使 用 以 太 
网 ,每 台 计算 机 根据 是 否 有 载波 信号 出 现 来 判定 总 线 是 否 空间 。 如 果 主 机 接口 有 数据 要 
传输 , 它 就 侦 听 ,看 总 线 上 是 否 有 信号 在 传输 。 如 果 没 有 探测 到 , 它 就 开始 传输 。 每 次 传 
输 都 在 一 定 的 时 间 间 隔 内 , 即 传输 的 数据 包 有 固定 的 大 小 。 而 且 硬 件 还 必须 在 两 次 传输 
之 间 ,观察 一 个 最 小 的 空闲 时 间 ,也 就 是 说 ,总 线 上 的 计算 机 使 用 通信 线路 的 通信 机 会 是 
均等 的 。 

当 开 始 一 个 传输 时 ,信号 并 不 能 同时 到 达 网 络 的 所 有 地 方 , 这 就 有 可 能 两 个 设备 同时 
探测 到 网 络 是 空闲 的 ,并 都 开始 传输 , 当 这 两 个 信号 在 网 络 上 相遇 时 ,它们 都 不 再 可 用 了 ， 
这 种 情况 就 叫 作 冲突 (collision) 。 

以 太 网 在 处 理 这 种 情况 时 ,很 有 技巧 性 。 每 台 设 备 在 它 传输 信号 的 时 候 都 监听 总 线 ， 
看 它 传 输 的 时 候 是 否 有 信号 干扰 ,这 种 监视 叫 作 冲突 侦 听 ,在 探测 到 冲突 后 ,设备 就 停止 
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传输 。 在 以 太 网 上 ,有 可 能 会 因为 所 有 设备 都 忙于 尝试 传输 数据 而 每 次 都 产生 冲突 。 

为 了 避免 这 种 情况 ,以 太 网 使 用 一 个 二 进 制 后 退 策略 。 发 送 者 在 第 一 次 冲突 后 ,等 待 
一 个 随机 时 间 ,再 进行 第 二 次 传输 ,如 果 第 二 次 还 是 冲突 , 则 等 待 时 间 延 长 一 倍 ,第 三 次 再 
延长 一 倍 ,以 此 类 推 。 通 常 这 种 策略 ,即使 两 台 设 备 第 二 次 等 待 的 时 间 会 很 接近 ,但 由 于 
后 面 的 等 待 时 间 成 指数 倍增 长 ,不 久 ,它们 就 不 会 冲突 了 。 

(2) 以 太 网 的 帧 地 址 

每 台 连 接 到 以 太 网 上 的 计算 机 都 有 一 个 唯一 的 48 位 (二 进 制 数 ) 以 太 网 地 址 ,以 太 网 
卡 厂商 都 从 一 个 机 构 购 得 一 段 地 址 ,在 生产 时 ,给 每 块 网 卡 一 个 唯一 地 址 。 通 常 ,这 个 地 
址 是 固化 在 网 卡 上 的 , 称 为 网 卡 的 物理 地 址 (MAC 地 址 ) 。 

当 一 个 数据 帧 到 达 时 ,硬件 会 对 这 些 数据 进行 过 滤 ,根据 帧 结构 中 的 目的 地 址 ,将 属 
于 发 送 到 本 设备 的 数据 传输 给 操作 系统 ,而 忽略 其 他 任何 数据 。 


< [ 迷 例 】 利用 Srifle Featable 分 析 网 络 协 议 


案例 分 析 


Sniffer 软件 对 网 络 管理 员 来 说 是 一 种 强大 的 监控 管理 工具 ,可 以 分 析 网 络 中 的 协 
议 、 了 解 网 络 流量 、 发 现 异 常 通信 等 。 对 网 络 黑客 而 言 它 是 一 种 重要 的 刺探 工具 ,常用 来 
窃取 网 络 账 号 和 密码 ,窃取 网 络 通信 或 电子 邮件 信息 。 它 是 一 把 双 刃 剑 , 既 为 网 络 管理 工 
作 提 供 重 要 的 信息 资源 ,也 为 网 络 安全 带 来 巨大 的 威胁 。 我 们 学 习 它 的 目的 是 为 了 把 它 
更 好 地 应 用 在 网 络 管理 中 ,同时 对 Sniffer Portable 带 来 的 网 络 安全 威胁 进行 有 效 的 

Sniffer Portable 的 主要 功能 如 下 。 

(1) 捕获 网 络 流量 进行 详细 分 析 。 

(2) 利用 专家 分 析 系统 诊断 问题 。 

(3) 实时 监控 网 络 活动 。 

(4) 收集 网 络 利用 率 和 错误 等 。 


操作 环境 
(1) 局 域 网 主机 。 
(2) Windows XP、Windows 7 系统 ,Sniffer Portable 软件 。 
操作 步 又 
第 1 步 ” Sniffer Portable 的 启动 。 
Sniffer Portable 软件 安装 好 后 , 选择 “ 开 
始 ”>“ 所 有 程序 ”一 Sniffer Pro 一 Sniffer 命令 , 启 Lr | 
动 Sniffer Portable 程序 ,如 图 2.3 所 示 。 图 2.3 启动 Sniffer Portable 程序 


启动 Sniffer Portable 程序 后 首先 出 现 的 是 
Settings 对 话 框 , 对 话 框 中 列表 显示 本 计算 机 可 以 使 用 的 各 个 网 卡 , 若 计算 机 中 装 有 多 个 
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网 卡 , 需 要 从 中 选择 准备 用 于 监听 的 网 卡 , 即 选 中 与 被 监听 系统 连接 的 网 卡 , 选 中 后 单 击 
“确定 ”按钮 ,如 图 2.4 所 示 。 


Settings 


Select Settings | 


Select settings for monitoring: 


Local Hew 
[JRealtek BTL81397810z Fanily 


Log 0ff 
二 ] 让 厂 ng 
Current medium 。 Pthernet 802 3 
Line 100 Wbps 


图 2.4 选中 与 被 监听 系统 连接 的 网 卡 


Sniffer Portable 将 打开 如 图 2.5 所 示 的 主 窗口 。 


ello | er — | 
号 | 日 | 全 全 | 全 | 轨 | 刘 人 | 一 | 针 全 到 | 大 | 多 | 加 


2.5 Sniffer Portable 主 窗口 


第 2 步 数据 包 的 捕获 。 
捕获 数据 包 需 要 将 监听 主机 与 被 监听 主机 通过 交换 机 连接 在 一 起 。Sniffer Portable 
捕获 工具 栏 共有 6 个 按钮 ,如 图 2.6 所 示 。6 个 按钮 的 功能 分 别 如 下 。 


| 可 sl 泊 | 的 | 评 | [oss 二 
忆 | 日 | 号 本 | 全 | 天 到 | 到 六 | 情色 | 交 | 人 | 加 


2.6 捕获 工具 栏 按钮 
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。“ 开 始 ” 按 钮 : 启动 捕获 程序 ,开始 捕获 数据 包 。 
“暂停 ?按钮 : 暂时 停止 捕获 工作 。 
“停止 "按钮 : 停止 捕获 工作 。 
。“ 停 止 和 显示 ”按钮 : 停止 捕获 工作 ,自动 转 到 捕获 数据 包 窗 口 。 
。“ 显 示 ” 按 钮 : 显示 捕获 数据 包 的 内 容 。 
“定义 过 滤器 ”按钮 : 设置 过 滤 条 件 , 有 选择 地 进行 捕获 。 捕 获 方法 很 简单 , 单 击 
捕获 工具 栏 上 的 “开始 ”按钮 即 可 开始 捕获 。 
一 旦 捕获 到 有 效 数据 包 , 捕 获 工具 栏 上 的 “停止 和 显示 ”按钮 由 灰色 变 为 彩色 , 单 击 此 
按钮 可 以 停止 捕获 并 显示 捕获 数据 包 的 内 容 , 如 图 2.7 所 示 。 


图 2.7 显示 捕获 数据 包 的 内 容 


第 3 步 数据 包 的 读 取 与 分 析 。 

Sniffer Portable 捕获 到 的 数据 包 被 暂 存 在 内 存 里 , 单 击 "显示 ”或 “停止 和 显示 ”按钮 
可 以 把 捕获 的 数据 包 内 容 显 示 出 来 。 

在 数据 显示 窗口 中 ,通过 窗口 标签 可 以 选择 多 种 显示 模式 。 

(1) 专家 模式 是 一 种 综合 显示 模式 ,将 各 种 捕获 数据 的 信息 综合 排列 显示 在 窗口 中 ， 
如 图 2.8 所 示 。 


sl elm 如 sse 3| 
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图 2.8 专家 模式 


(2) 给 阵 显 示 模 式 可 以 直观 地 从 捕获 的 数据 包 中 看 出 哪些 地 址 的 主机 间 进 行 了 何 种 
协议 的 连接 ,如 图 2.9 所 示 。 


trix : 3 Converpations 
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2.9 ” 答 阵 显示 模式 


(3) 主机 列表 旺 
数 , 如 图 2.10 所 示 。 
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图 2.10 主机 列表 显示 模式 


模式 详细 列 出 每 一 个 地 址 上 各 种 协议 出 入 数据 包 的 数 
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第 4 步 ”捕获 过 滤 。 

Sniffer Portable 的 信息 捕获 能 力 很 强 , 在 一 瞬间 可 以 捕获 大 量 的 数据 ,其 中 有 些 数 
据 是 有 价值 的 ,但 绝 大 多 数 是 无 用 的 ,如 果 不 对 这 些 数据 进行 有 选择 地 捕获 ,会 占用 大 量 
的 系统 资源 ,还 会 给 有 用 信息 的 提取 带 来 困难 。 

Sniffer Portable 有 着 很 强 的 数据 过 小 功能 ,通过 合理 配置 过 滤器 ,可 以 仅 对 有 价值 
的 信息 进行 捕获 ,提高 系统 工作 效率 ,降低 系统 工作 负荷 。 

单 击 Sniffer Portable 捕获 工具 栏 上 的 “定义 过 滤器 "按钮 ,可 以 打开 Define Filter 一 
Monitor 对 话 框 。 在 该 对 话 框 中 可 以 设置 按 指定 的 地 址 及 指定 地 址 上 的 数据 传输 方向 进 
行 过 滤 , 如 图 2.11 所 示 。 


Define Filter — Wonitor 
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2.11 Define Filter 一 Monitor 对 话 框 


也 可 以 设置 按 某 种 协议 或 数据 包 大 小 进行 捕获 ,如 图 2.12 所 示 。 


Define Filter — Wonitor 


Summary | Address | Data Pattern Adaraneed |Buffer | 


DD 3con TCP-IP/LOOP 


[3 | 取消 Profiles. 
图 2.12 设置 按 某 种 协议 或 数据 包 大 小 进行 捕获 


可 以 设置 捕获 缓冲 区 的 大 小 ,及 设置 自动 将 缓冲 区 内 容 保存 到 指定 位 置 的 文件 中 ,如 
图 2.13 所 示 。 
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Define Filter — Nonitor 
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PB Wique nanes 
全 Profiles. 
图 2.13 设置 捕获 缓冲 区 的 大 小 


通过 对 上 面 这 些 过 滤 条 件 的 指定 ,就 可 以 有 针对 性 地 进行 信息 捕获 ,使 捕获 的 数据 都 
是 所 需要 的 信息 。 


2.2 网 络 通信 不 安全 的 因素 


在 生活 中 经 常会 看 到 或 听 到 这 样 的 消息 : 一 个 黑客 入 侵 了 某 一 网 络 , 使 该 网 络 的 服 
务 器 全 部 瘫痪 ;一 个 黑客 利用 网 络 从 某 一 银行 资 取 了 大 量 钱财 ,等 等 。 这 些 例 子 说 明 
Internet 是 不 安全 的 ,Internet 需要 更 多 .更 好 的 安全 机 制 。 事 实 上 ,世界 上 没有 绝对 安全 
的 网 络 ,只 要 用 户 的 计算 机 网 络 连接 到 Internet 上 , 它 就 存在 着 危险 。 安 全 问题 的 一 个 主 
要 方面 就 是 使 用 的 TCP/IP 协议 本 身 就 存在 着 巨大 的 安全 缺陷 ,包括 建立 在 其 上 面 的 很 
多 服务 。 


221 网 络 自身 的 安全 缺陷 


Internet 的 基石 是 TCP/IP 协议 ,该 协议 在 实现 上 力求 简单 .高 效 ,而 没有 考虑 安全 
因素 ,因为 考虑 安全 因素 ,无 疑 会 增 大 程序 代码 量 , 从 而 降低 TCP/IP 的 运行 效率 ,所 以 说 
TCP/IP 协议 本 身 在 设计 上 就 是 不 安全 的 ,主要 存在 以 下 安全 缺陷 。 


1. 容易 被 窃听 


大 多 数 Internet 上 的 数据 信息 流量 是 没有 加 密 的 ,电子 邮件 口令 ,文件 传输 等 很 容易 
被 监听 和 劫持 ,可 以 实现 这 些 行为 的 工具 很 多 ,在 网 上 还 有 很 多 免费 提供 的 工具 。 


2. 脆弱 的 TCP/IP 服务 


在 Internet 上 ,很 多 基于 TCP/IP 的 应 用 服务 都 在 不 同 程度 上 存在 安全 问题 ,这 很 容 
易 被 一 些 对 TCP/IP 协议 十 分 了 解 的 人 所 利用 ,尤其 是 一 些 新 的 处 于 测试 阶段 的 服务 有 
更 多 的 安全 缺陷 。 


| Co 全 技术 案例 烙 往 ] 


3. TCP/IP 协议 缺乏 安全 策略 


由 于 技术 水 平 的 原因 ,Internet 上 的 许多 网 络 站 点 在 防火 墙 的 配置 上 无 意识 地 扩大 
了 访问 权限 ,忽视 了 这 些 权限 可 能 会 被 网 络 内 部 的 人 利用 或 滥用 ,黑客 从 一 些 服务 中 可 以 
获得 有 用 的 信息 ,而 网 络 管理 或 维护 人 员 却 不 知道 应 该 禁止 这 种 服务 。 


4. 配置 的 复杂 性 


在 Internet 上 ,访问 控制 的 配置 一 般 是 很 复杂 的 ,所 以 很 容易 被 错误 配置 或 配置 不 完 
善 ,黑客 便 有 了 可 乘 之 机 。 


222 网 络 容易 被 窃听 和 欺骗 


由 于 局 域 网 的 特点 使 网 络 极 易 被 窃听 。Internet 是 把 无 数 局 域 网 连接 起 来 形成 一 个 
大 网 ,然后 再 把 大 的 网 连接 成 更 大 的 网 ,从 而 形成 一 个 庞大 的 网 络 。 它 的 拓扑 结构 是 一 种 
逐步 细 化 的 树 状 结构 ,虽然 Internet 上 的 信息 传输 是 点 对 点 的 ,但 一 般 Internet 的 主机 会 
处 于 一 个 特定 的 局 域 网 中 ,例如 ,一 个 学 校 的 一 个 计算 机 实验 室 构 成 了 一 个 局 域 网 , 它 连 
接 到 学 校 的 校园 网 ,校园 网 又 连接 到 CERNET,CERNET 又 连接 到 国内 的 其 他 网 络 或 直 
接连 到 国外 的 网 络 上 。 因 为 局 域 网 ,如 以 太 网 、 令 牌 网 等 ,都 是 广播 型 网 络 , 也 就 是 说 ,网 
络 上 的 一 台 主 机 发 布 消息 ,网 络 上 的 任何 一 台 机 器 都 可 以 收 到 这 个 消息 。 一 般 情况 下 ,以 
太 网 卡 在 收 到 发 往 别 人 的 消息 时 会 自动 丢弃 消息 ,而 不 向 上 层 传递 消息 ,但 如 果 我 们 把 以 
太 网 卡 的 接收 模式 设置 成 混合 型 (promiscuous) 时 ,网 卡 就 会 捕 提 所 有 的 数据 包 , 并 把 这 
些 数据 包 向 上 传递 ,也 就 造成 了 以 太 网 可 以 被 窃听 。 其 实 ,FDDI\ 令 牌 网 等 也 存在 这 样 的 
问题 。 现 在 的 ATM 网 络 技术 是 点 对 点 的 , 它 不 会 像 以 太 网 的 广播 型 网 络 那样 容易 被 窃 
听 。 图 2.14 描述 了 以 太 网 卡 混合 工作 方式 和 普通 工作 方式 的 工作 原理 。 


应 用 层 站 应 用 层 


| 


传输 层 一 | 传输 层 


| | 


互联 网 层 一 一 | 互联 网 层 


网 络 访问 控制 导 网 络 访问 控制 计 
下 下放 | 
普通 工作 方式 [ ] 混合 模式 
表示 A 到 B 的 包 总 [Lh 
主机 A 主机 B 

图 2.14 以 太 网 卡 混合 工作 方式 和 普通 工作 方式 
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Internet 上 的 信息 容易 被 窃听 和 动 获 的 另 一 个 原因 是 , 当 有 一 个 人 用 一 台 主 机 和 网 
络 上 的 另 一 台 主 机 进行 通信 时 ,它们 之 间 相互 发 送 的 数据 信息 包 是 经 过 很 多 机 器 (网 络 和 
路 由 器 ) 重 新 转发 的 。 如 在 公司 计算 机 局 域 网 上 的 一 台 主 机 上 要 访问 Hotmail 主机 ,用 户 
数据 包 要 经 过 公司 局 域 网 的 路 由 器 或 代理 服务 器 公司 网 络 的 路 由 器 、 网 络 服务 商 的 多 个 
路 由 器 ,然后 从 总 出 口 出 国 , 再 经 过 很 多 网 络 和 路 由 器 才能 到 达 Hotmail 主机 。 具 体 要 经 
过 多 少 主机 、 多 少 路 由 器 和 多 少 网 络 ,不 同 的 时 候 可 能 不 同 ,用 户 可 以 用 网 络 测试 工具 得 
到 。 图 2. 15 表示 了 网 络 上 数据 信息 层 层 传递 的 工作 原理 。 


若 B 不 是 目标 向 络 ~ 本 
\ 路 由 器 
B 是 目标 间 络 网 络 D 


图 2.15 Internet 上 数据 的 传输 过 程 


Internet 的 这 种 工作 原理 不 仅 节约 了 资源 ,而 且 简化 了 传输 过 程 ,符合 TCP/IP 协议 
简单 .高效 的 宗旨 ,但 这 也 带 来 了 安全 上 的 隐患 。 当 然 用 户 不 可 能 力求 安全 而 放弃 这 种 方 
法 ,因为 这 样 做 是 不 实际 的 ,也 是 没有 必要 的 。 用 户 所 能 做 的 只 是 意识 到 这 种 问题 ,并 想 
办 法 来 解决 这 种 问题 ,提高 系统 的 安全 性 。 在 数据 的 传输 过 程 中 ,如 果 一 个 黑客 可 以 使 用 
一 台 处 于 用 户 的 数据 包 传 输 路 径 上 的 主机 ,那么 他 就 可 以 窃听 或 动 持 用 户 的 数据 包 。 例 
如 ,处 于 每 个 网 络 出 口上 的 机 器 (如 网 络 上 的 边界 路 由 器 ) 就 可 以 监听 所 有 从 这 个 网 络 进 
出 的 数据 包 , 这 和 以 前 经 过 总 机 接 转 的 电话 监听 是 类 似 的 。 实 际 上 ,网 络 流量 的 统计 和 防 
火 墙 等 都 是 利用 了 这 个 原理 来 实现 的 。 网 络 上 的 窃听 可 能 是 出 于 好 奇 ,也 可 能 是 恶意 的 。 
现在 , 越 来 越 多 的 黑客 不 再 是 喜欢 破坏 公物 的 人 ,而 多 数 是 出 于 商业 目的 ,所 以 网 络 安全 
是 把 Internet 真正 推 向 商业 化 所 必须 要 考虑 和 解决 的 问题 。 图 2. 16 表示 了 这 种 类 型 的 
窃听 过 程 。 

电子 欺骗 (spoofing attack) 是 针对 HTTP、FTP 和 DNS 等 协议 的 攻击 ,可 以 窃取 普 
通用 户 甚至 超级 用 户 的 权限 ,任意 修改 信息 内 容 , 造 成 巨大 的 危害 。 常 见 的 电子 欺骗 有 
DNS(domain name service) 欺 骗 和 IP 地 址 欺骗 两 种 。 

电子 欺骗 的 一 种 形式 是 DNS 欺骗 . 它 是 利用 了 DNS 服务 本 身 的 脆弱 性 。DNS 是 其 
他 Internet 服务 ,如 WWW 服务 FTP 服务 和 电子 邮件 服务 SNMP 的 基础 , 它 负责 把 输 
入 的 域名 转换 成 IP 地 址 。 
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攻击 数据 包 


图 2.16 数据 在 传输 过 程 中 被 窃听 或 动 持 


网 络 上 的 DNS 服务 器 很 多 ,这 些 服 务 器 里 有 一 个 数据 库 , 它 记录 着 IP 地 址 和 域名 的 
对 应 信息 。 当 用 户 的 主机 向 这 些 服务 器 查询 转换 信息 时 ,这 些 主 机 就 会 回答 用 户 的 查询 ， 
从 而 得 到 要 查找 的 主机 的 IP 地 址 。DNS 欺骗 的 关键 在 于 这 些 服 务 器 不 一 定 知道 用 户 所 
要 的 信息 ,于 是 该 服务 器 会 向 别 的 服务 器 查询 ,并且 对 查询 结果 不 加 确认 就 放 入 自己 的 数 
据 库 中 ,还 回答 用 户 的 查询 。 在 现实 生活 中 有 这 样 的 例子 ,用 户 想 知道 D 是 不 是 一 个 可 
信任 的 人 ,于 是 去 问 A, 可 是 A 不 能 回答 这 个 问题 ,于 是 A 就 去 问 B,B 知道 D 是 不 可 信 
任 的 ,于 是 告诉 A, 然 后 由 A 再 告诉 用 户 。 试 想 ,D 为 了 不 让 用 户 知道 他 的 真实 面目 ,会 
设法 让 他 的 好 友 告 诉 A 自己 是 可 信任 的 ,而 A 又 是 一 个 不 负责 任 的 人 ,他 不 会 去 核实 这 
个 消息 ,于 是 当 有 用 户 再 次 去 问 A 时 ,A 会 告诉 用 户 D 是 一 个 可 以 信任 的 人 。 这 就 是 为 
什么 会 有 DNS 欺骗 的 原因 。 图 2. 17 描述 了 DNS 欺骗 的 过 程 。 


坊 志和 


主机 pe.nuts.com pe.nuts.com 
E 机 A 信任 主机 是 202.101.40.9 攻击 机 
IP:116.111.4.10 2 


DNS 服 务 器 


202.101.40.9 是 we 


忌 pc.nuts.com 


被 攻击 主机 A 以 为 是 信任 主机 
一 一 一 人 允许 访问 


2.17 DNS 欺骗 


IP 地 址 欺骗 也 是 一 种 电子 欺骗 ,也 就 是 伪造 他 人 的 源 IP 地 址 ,其 实质 是 让 一 台 机 器 
来 扮演 另 一 台 机 器 ,借以 达到 蒙混 过 关 的 目的 。Internet 上 的 每 一 台 主 机 都 有 一 个 了 了 地 
址 , 当 用 户 的 数据 包 将 要 离开 主机 网 卡 端 口 时 ,数据 包 被 自动 加 上 主机 的 IP 地 址 ,这 样 接 
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收 者 就 知道 是 谁 发 来 的 数据 信息 。 因 为 TCP/IP 协议 的 实现 代码 是 公开 的 ,所 以 人 们 能 
很 容易 地 开发 出 一 种 工具 软件 ,让 使 用 者 指定 数据 包 的 源 IP 地 址 ,实现 IP 地 址 伪装 ,从 
而 产生 欺骗 行为 。 下 面 一 些 服务 相对 来 说 容易 招致 此 类 攻击 。 

(1) 任何 使 用 sunrpc 调用 的 配置 。rpc 指 Sun 公司 的 远程 过 程 调用 标准 ,是 一 组 工 
作 于 网 络 之 上 的 处 理 系 统 调用 的 方法 。 

(2) 任何 利用 IP 地 址 认证 的 网 络 服务 。 

(3) X-Window 系统 。 

(4) 各 种 r 服 务 , 在 UNIX 环境 中 ,r 服务 包括 rlogin 和 rsh, 其 中 r 表 示 远 程 。 人们 
设计 这 两 个 应 用 程序 的 初衷 是 向 用 户 提供 远程 访问 Internet 网 络 上 主机 的 服务 。r 服务 
极 易 受到 IP 欺骗 的 攻击 。 

假如 黑客 主机 C 攻击 A 主机 ,并 且 打 算 伪装 成 B 主 机 和 A 主机 进行 会 话 。 黑 客 从 C 
主机 发 出 TCP 连接 请 求 , 但 使 用 了 B 主机 的 IP 地 址 ,A 主机 在 收 到 请 求 数据 包 后 ,向 B 
主机 发 出 应 答 数 据 包 。 黑 客 不 会 让 B 主机 收 到 A 主机 发 出 的 应 答 数据 包 , 因 为 那样 A 主 
机 会 知道 有 人 在 冒充 B 主机 。 使 B 主机 不 能 接收 到 A 主机 发 出 的 应 答 数据 包 的 方法 有 
三 种 ,第 一 种 是 劫持 A 主机 发 出 的 数据 包 ; 第 二 种 是 用 大 量 的 连接 请 求 数据 包 淹没 B 主 
机 ,使 它 无 机 会 处 理 来 自 A 主机 的 数据 包 ; 第 三 种 是 改变 A 主机 到 B 主机 的 路 由 ,使 数据 
包 不 能 到 达 B 主机 ,于 是 黑客 就 可 以 在 A 主机 不 察觉 的 情况 下 冒充 B 主机 进行 对 话 了 。 
图 2.18 描述 了 这 个 过 程 。 


C 主 机 会 
攻击 数据 包 声 
称 来 自 B 主 机 

A 主机 


图 2.18 IP 地 址 欺骗 


几乎 所 有 的 电子 欺骗 都 依赖 于 目标 网 络 的 信任 关系 ,解决 电子 欺骗 的 途径 是 慎重 设 
置 和 处 理 网 络 中 的 主机 信任 关系 ,尤其 是 不 同 网 络 之 间 主 机 的 信任 关系 。 如 只 存在 局 域 
网 内 的 信任 关系 ,可 以 设置 路 由 器 使 之 过 滤 掉 外 部 网 络 中 自称 源 地 址 为 内 部 网 络 地 址 的 
IP 数据 包 , 来 抵御 IP 欺骗 。 目 前 ,Cisco System 和 ISS 等 公司 提供 的 一 些 安全 软件 包 具 
有 测试 网 络 在 IP 欺骗 上 的 漏洞 的 功能 。 
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223 脆弱 的 TOMIP 服 务 


基于 TCP/IP 协议 的 Internet 服务 很 多 .有 WWW 服务 .FTP 服务 和 电子 邮件 服务 、 
TFTP 服务 .NFS 服务 和 Finger 服务 等 。 这 些 服务 都 存在 不 同 程度 的 安全 缺陷 。 当 用 户 
用 防火 墙 保护 站 点 时 ,就 应 该 清楚 提供 哪些 服务 .禁止 哪些 服务 。 


1. 电子 邮件 服务 


电子 邮件 服务 给 入 们 提供 了 一 种 便宜 、 方 便 和 快捷 的 服务 ,电子 邮件 地 址 甚至 开始 出 
现在 人 们 的 名 片上 了 ,成 了 最 受 欢 迎 的 通信 方式 之 一 。 现 在 ,UNIX 操作 系统 环境 下 的 电 
子 邮 件 服务 器 一 般 是 用 Sendmail, 它 是 一 个 复杂 且 功 能 强大 的 应 用 软件 , 正 因为 如 此 , 它 
的 安全 漏洞 很 多 。 一 般 来 说 ,程序 越 庞 大 、 越 复杂 ,出 现 安全 漏洞 的 可 能 性 就 越 大 。 
Sendmail 在 UNIX 操作 系统 环境 下 以 root 账号 运行 ,所 以 如 果 该 程序 被 黑客 利用 ,用 户 
主机 的 损失 将 十 分 巨大 。Internet 上 的 蠕虫 病毒 曾经 震惊 世界 , 它 使 大 批 的 网 络 服务 器 
陷于 瘫痪 ,这 种 病毒 就 是 利用 了 Sendmail 的 安全 缺陷 。 如 果 使 这 些 功 能 以 更 安全 的 方式 
实现 , 则 需要 对 Sendmail 进行 重新 设计 和 重新 实现 ,但 人 们 又 会 担心 新 的 版 本 会 出 现 更 
多 未 知 的 安全 漏洞 。Sendmail 的 安全 问题 被 人 们 修 修补 补 , 但 总 有 新 的 问题 出 现 。 

除 此 之 外 ,电子 邮件 附件 中 的 文件 可 能 会 带 有 病毒 ,也 给 系统 安全 带 来 了 麻烦 。 电 子 
邮件 炸弹 就 是 一 个 令 人 头疼 的 问题 。 


2. FTP 服务 


FTP 服务 是 用 于 传输 文件 的 ,可 以 用 来 下 载 任何 类 型 的 文件 。 网 络 上 有 许多 匿名 
FTP 服务 站 点 ,其 上 有 许多 免费 软件 图片 和 游戏 等 软件 ,匿名 FTP 是 人 们 常 使 用 的 一 
种 服务 方式 。 匿 名 FTP 服务 就 像 匿名 WWW 服务 一 样 是 不 需要 口令 的 ,但 用 户 的 权利 
会 受到 严格 的 限制 。 匿 名 FTP 存在 一 定 的 安全 隐患 ,因为 有 些 匿 名 FTP 站 点 提供 可 写 
空间 给 用 户 ,这 样 黑 客 可 以 上 传 一 些 软件 到 站 点 上 浪费 用 户 的 磁盘 空间 、 网 络 带宽 等 系统 
资源 ,还 可 能 会 造成 “拒绝 服务 "攻击 。 匿 名 FTP 服务 的 安全 在 很 大 程度 上 取决 于 一 个 系 
统管 理 员 的 水 平 ,一 个 低 水 平 的 系统 管理 员 很 可 能 会 错误 授权 配置 ,从 而 被 黑客 加 以 利 
用 ,以 致 破坏 整个 系统 。 


3. Finger 服务 


Finger 服务 用 于 查询 用 户 的 信息 ,包括 网 上 成 员 的 真实 姓名 .用户 名 、 最 近 的 登录 时 
间 和 地 点 等 ,也 可 以 用 来 显示 当前 登录 在 机 器 上 的 所 有 用 户 名 ,这 对 于 入 侵 者 来 说 是 无 价 
之 宝 ,因为 它 能 告诉 人 侵 者 在 本 机 器 上 有 效 的 登录 名 ,然后 人 侵 就 可 以 注意 其 活动 了 ,等 
待 时 机 成 熟 时 进行 人 侵 ,实施 攻击 。 


4. 其 他 安全 性 极 差 的 服务 


除了 上 面 提 到 的 服务 外 .还 有 如 WWW、X-Window 系统 服务 ,基于 RPC 的 NFS 服 
务 和 BSD UNIX 系统 的 “r" 开 头 的 服务 ,如 rlogin、rsh 和 rexec 等 。 这 些 服务 的 安全 性 极 
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差 ,一 般 只 在 内 部 使 用 。 如 果 网 络 有 防火 墙 , 就 应 该 把 这 些 服务 限制 在 内 部 网 络 中 。 
224 来 自 Irternet 的 威胁 


Internet 上 存在 人 的 威胁 和 自然 的 破坏 。 在 这 两 个 因素 中 ,人 为 的 破坏 是 更 重要 的 ， 
自然 的 破坏 可 以 通过 数据 备份 和 元 余 设 置 等 来 预防 ,人 为 的 破坏 则 是 防不胜防 的 。 人 为 
的 破坏 主要 来 自 网 络 黑客 ,研究 计算 机 网 络 犯罪 现在 已 经 成 为 犯罪 学 研究 领域 的 一 个 重 
要 部 分 ,这 些 罪犯 知识 水 平 高 ,危害 性 大 ,而 且 隐 项 性 很 强 ,是 一 种 高 科技 手段 的 犯罪 行 
为 。 目 前 ,在 Internet 上 实行 商业 信息 盗窃 .银行 抢劫 等 的 犯罪 活动 越 来 越 多 ,网 络 黑客 
不 仅 是 一 些 想 显示 自己 计算 机 水 平和 计算 机 应 用 能 力 的 好 奇 的 大 学 生 , 更 多 的 是 一 些 专 
职 的 商业 间谍 ,有 的 出 于 对 钱财 的 贪 禁 , 有 的 是 出 于 其 他 目的 。 还 有 人 为 的 破坏 来 自 网 络 
内 部 ,这 种 危害 来 自 那些 对 企业 或 单位 不 满 , 或 者 是 被 解雇 了 的 职员 对 内 部 网 络 的 人 侵 ， 
因为 这 种 人 对 内 部 网 络 很 了 解 ,他 们 的 这 种 人 侵 危 害 性 很 大 。 因 此 ,网 络 管理 人 员 及 时 地 
删除 离职 人 员 的 账户 是 非常 重要 的 。 

除了 直接 的 网 络 入 侵 外 ,各 种 病毒 程序 也 是 Internet 上 的 潜在 威胁 ,这 些 病毒 可 以 在 
网 络 上 随意 传播 ,也 可 以 通过 下 载 的 软件 ,如 Java 程序 、ActiveX 控件 等 进入 内 部 网 络 , 从 
而 对 网 络 造 成 危害 。 特 洛 伊 木 马 就 是 一 种 病毒 程序 , 它 在 表面 上 看 起 来 是 无 害 的 ,具有 很 
强 的 隐蔽 性 ,但 它 实 际 上 却 在 背后 破坏 用 户 的 网 络 。 

虽然 现在 的 防火 墙 都 声称 具有 防 病毒 的 功能 ,但 新 的 病毒 、 旧 病毒 的 变异 品种 是 不 会 
被 发 现 的 , 它 仍然 会 进入 用 户 的 网 络 , 给 网 络 造成 危害 。 


2.3 网络 协议 存在 的 不 安全 性 


网 络 层 的 协议 是 一 些 传输 透明 化 的 协议 ,如 果 不 使 用 一 些 监 视 系统 进程 的 工具 ,用 户 
是 看 不 见 这 些 协议 的 。 

Sniffers 是 一 种 能 看 到 这 些 步骤 的 装置 .这 个 装置 可 以 是 软件 ,也 可 以 是 硬件 , 它 能 
读 取 通 过 网 络 发 送 的 每 一 个 数据 包 , 能 读 取 发 生 在 网 络 层 协议 的 任何 活动 。 它 广泛 地 用 
于 隔离 用 户 看 不 到 的 、 网 络 性 能 下 降 的 问题 , 它 会 对 网 络 的 安全 问题 造成 威胁 。 

网 络 层 协议 包括 地 址 解析 协议 .Internet 控制 消息 协议 、Internet 协议 、 传 输 控制 协 
议 等 。 
231 IP 协 议 与 路 由 

1. IP 协议 


IP 协议 定义 了 一 种 高 效 、 不 可 靠 和 无 连接 的 传输 方式 。 由 于 传输 没有 得 到 确认 ,所 
以 是 不 可 靠 的 。 一 个 数据 包 可 能 丢失 了 ,或 看 不 见 了 ,或 延 时 了 ,或 传输 顺序 错 了 ,但 是 传 
输 设备 并 不 检测 这 些 情况 ,也 不 通知 通信 双方 。 无 连接 则 是 因为 每 个 数据 包 的 传递 与 别 
的 数据 包 是 相互 独立 的 ,同一 个 计算 机 上 的 数据 包 可 以 通过 不 同 的 路 径 到 达 另 一 台 计 算 
机 ,或 在 别 的 计算 机 上 已 经 丢失 。 由 于 传输 设备 都 试图 以 最 快 的 速度 传输 ,所 以 是 最 高 
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效 的 。 

IP 协议 定义 了 通过 TCP/IP 网 络 传输 的 数据 格式 ,定义 了 数据 进行 传递 的 路 由 功 
能 。IP 数据 包 由 一 个 头 和 数据 部 分 组 成 ,数据 包 的 头 部 分 包含 诸如 目的 地 址 、 源 地 址 和 
数据 类 型 等 信息 。 


2. IP 路 由 


一 个 网 络 上 连接 着 两 种 基本 设备 一 一 主机 和 路 由 器 ,路 由 器 通常 连接 几 个 物理 网 络 。 
对 一 台 主 机 来 讲 , 要 将 一 个 数据 包 发 送 到 别 的 网 络 ,就 需要 知道 这 个 数据 包 应 该 走 什么 路 
径 才 能 到 达 目 的 地 。 对 一 台 路 由 器 来 讲 ,必须 清楚 将 收 到 的 数据 包 发 往 哪个 物理 网 络 。 
因此 ,无 论 主机 还 是 路 由 器 ,在 发 送 数据 包 时 都 要 做 路 由 选择 。 

数据 发 送 有 直接 数据 发 送 和 间接 数据 发 送 两 种 方式 。 直 接 数 据 发 送 通 常 是 在 同一 个 
物理 网 络 里 进行 的 。 当 一 个 主机 或 路 由 器 要 将 数据 包 发 送 到 同一 物理 网 络 上 的 主机 时 ， 
就 是 采用 这 种 方式 的 。 先 判断 IP 数据 包 中 的 目的 地 址 中 的 网 络 部 分 ,如 果 是 在 同一 个 网 
络 上 , 则 通过 地 址 分 析 , 将 IP 数据 包 的 目的 地 址 转换 成 物理 地 址 ,并 将 数据 包 解 开 , 和 该 
地 址 合成 一 个 物理 传输 帧 ,通过 局 域 网 将 数据 包 发 出 。 间 接 数 据 发 送 是 在 不 同 物理 网 络 
之 间 进 行 的 。 当 一 个 主机 或 路 由 器 要 将 数据 包 发 送 到 不 同 的 物理 网 络 上 的 主机 时 ,这 台 
设备 就 先 在 路 由 表 中 查找 路 由 ,然后 将 数据 包 发 往 路 由 中 指定 的 下 一 个 路 由 器 ,这 样 一 直 
向 外 传送 数据 包 , 最 后 肯定 有 一 个 路 由 器 发 现 数据 包 要 发 往 同 一 个 物理 网 络 ,于 是 ,再 用 
直接 数据 发 送 方式 将 数据 包 发 到 目的 主机 上 。 

主机 和 路 由 器 在 决定 数据 怎样 发 送 的 时 候 , 都 要 去 查找 路 由 。 一 般 都 将 路 由 组 成 一 
个 路 由 表 存 放 在 计算 机 中 。 路 由 表 一 般 采 用 (N,R) 对 表示 ,NN 是 目的 地 址 的 网 络 地 址 ,R 
是 传输 路 径 中 的 下 一 个 路 由 。 通 常 这 个 路 由 和 这 台 计 算 机 在 同一 个 物理 网 络 里 。 
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TCP 协议 在 IP 协议 之 上 ,为 其 上 的 应 用 层 提供 了 一 种 可 靠 的 传输 服务 ,这 种 服务 的 
特点 是 可 靠 、 全 双 工 \ 流 式 和 无 结构 传输 。 

TCP 协议 使 用 一 种 叫 积极 确认 和 重 发 送 技术 来 实现 可 靠 传 输 。 接 收 者 在 收 到 发 送 
者 发 送 的 数据 后 ,必须 发 一 个 相应 的 确认 (ACK) 消 息 , 表 示 它 已 经 收 到 了 数据 。 发 送 者 
保存 发 送 的 数据 的 记录 ,在 发 送 下 一 个 数据 之 前 ,等 待 这 个 数据 的 确认 消息 。 在 发 送 这 个 
数据 的 同时 ,发 送 者 还 启动 一 个 计时 器 ,如 果 在 一 定 的 时 间 之 内 ,没有 接收 到 确认 消息 ,就 
认为 这 个 数据 在 传送 时 丢失 了 ,接着 就 会 重新 发 送 这 个 数据 。 

这 种 方法 产生 了 一 个 问题 ,就 是 数据 包 的 重复 。 如 果 网 络 传输 速度 比较 低 , 等 到 等 待 
时 间 结 束 后 ,确认 消息 才 返 回 到 发 送 者 ,那么 由 于 发 送 者 采用 的 重复 发 送 方法 ,就 会 出 现 
重复 的 数据 包 了 。 解 决 的 办 法 之 一 是 给 每 个 数据 包 分 配 一 个 序列 号 ,并 需要 发 送 者 记 住 
哪个 序列 号 的 数据 包 已 经 确认 了 。 为 了 防止 由 于 延 时 或 重复 确认 ,规定 确认 消息 里 也 要 
包含 确认 序列 号 ,从 而 发 送 者 就 能 知道 哪个 数据 包 已 经 确认 了 。 

使 用 TCP 传输 就 是 建立 一 个 连接 ,在 TCP 传输 中 一 个 连接 由 两 个 端点 组 成 。 其 实 
一 个 连接 代表 的 是 发 送 者 和 接收 者 两 端 应 用 程序 之 间 的 一 个 通信 ,可 以 把 它们 想象 成 建 
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立 了 一 个 电路 ,通常 一 个 连接 用 (Host,Port) 表 达 , Host 是 主机 ,Port 是 端口 。TCP 端口 
能 被 几 个 应 用 程序 共享 。 对 于 程序 员 来 讲 , 可 以 理解 为 一 个 程序 可 以 为 不 同 的 连接 服务 。 

TCP 传输 数据 的 单位 是 段 ,在 建立 连接 ,发送 数据 、 确 认 消 息 和 告知 窗口 大 小 时 均 要 
进行 段 的 交换 。 段 的 格式 也 分 成 头 和 数据 两 个 部 分 。 

TCP 协议 使 用 三 次 握手 来 建立 一 个 TCP 连接 。 握 手 过 程 的 第 一 个 段 的 代码 位 设置 
为 SYN ,序列 号 为 x, 表 示 开 始 第 一 次 握手 ,接收 方 收 到 这 个 段 后 ,向 发 送 者 回 发 一 个 段 ， 
代码 位 设置 为 SYN 和 ACK ,序列 号 设置 为 y, 确 认 序 列 号 设置 为 x 十 1。 发 送 者 收 到 这 个 
段 后 ,就 知道 可 以 进行 TCP 数据 发 送 了 ,于 是 它 又 向 接收 者 发 送 一 个 ACK 段 , 表 示 双 方 
的 连接 已 经 建立 。 在 完成 握手 之 后 ,就 开始 正式 的 数据 传输 了 。 

TCP 协议 的 这 种 属性 决定 了 它 难 以 避免 的 安全 隐患 ,目前 在 Internet 上 的 安全 问题 
中 ,很 多 攻击 方式 都 是 建立 在 TCP 欺骗 的 基础 之 上 的 。 
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Telnet 协议 的 目的 就 是 提供 一 个 相当 通用 的 、 双 向 的 、 面 向 8 位 字 节 的 通信 机 制 。 它 
的 最 初 目的 是 允许 在 终端 和 面向 终端 的 进程 之 间 进 行 的 交互 。Telnet 不 仅 允 许 用 户 登 
录 到 一 个 远程 主机 上 ,还 允许 用 户 在 那 台 计 算 机 上 执行 命令 。 这 样 , 用 户 在 自己 的 局 域 网 
里 的 任何 一 台 计 算 机 上 就 可 以 Telnet 到 清华 大 学 计算 机 校园 网 络 上 的 一 台 计 算 机 ,并 在 
这 台 计 算 机 上 运行 程序 。Telnet 没有 图 形 功 能 , 它 仅 提供 基于 字符 界面 的 访问 。 

即使 GUI 应 用 程序 被 广泛 采用 ,Telnet 这 个 建立 在 字符 基础 上 的 应 用 程序 仍 相 当地 
流行 ,其 原因 如 下 。 

(1) Telnet 允许 用 户 以 很 小 的 网 络 资源 花费 实现 各 种 功能 (如 收发 电子 邮件 ) 。 

(2) 实现 安全 的 Telnet 是 件 十 分 简单 的 事 ,. 有 许多 这 样 的 程序 ,通用 的 是 Secure 
Shell。 要 使 用 Telnet, 用 户 必须 指定 启动 Telnet 客户 的 命令 ,并 在 后 面 指定 目标 主机 的 
名 字 。 在 Linux 中 ,可 以 这 样 : $ telnet sctc. edu. cn, 这 个 命令 启动 Telnet 过 程 ,连接 到 
sctc. edu. cn 网 络 的 一 个 服务 器 上 。 这 个 连接 可 能 被 接受 ,或 被 拒绝 ,这 与 目标 主机 的 配 
置 有 关 。 

Telnet 并 不 是 一 种 非常 安全 的 服务 ,虽然 登录 时 它 要 求 用 户 认证 ,但 由 于 Telnet 发 
送 的 信息 都 未 加 密 , 所 以 信息 容易 被 网 络 监 听 。 仅 当 远 程 计算 机 及 其 与 本 地 站 点 之 间 的 
网 络 通信 安全 时 ,Telnet 才 是 安全 的 。 这 就 意味 着 在 Internet 上 Telnet 是 不 安全 的 。 

除了 Telnet, 还 有 几 种 程序 能 用 于 远程 终端 访问 和 执行 程序 ,如 rlogin、rsh 和 on。 
在 受托 的 环境 里 使 用 这 些 程序 ,允许 用 户 远程 登录 而 无 须 重新 输入 口令 。 他 们 登录 的 主 
机 相信 用 户 所 用 的 主机 已 对 其 用 户 做 过 认证 。 但 是 使 用 这 几 个 r 命令 是 特别 不 安全 的 ， 
容易 受到 IP 欺骗 和 名 字 欺 骗 及 其 他 欺骗 技术 的 攻击 ,因此 ,托管 主机 模式 并 不 适合 在 
Internet 上 使 用 。 

在 设 有 防火 墙 保护 的 网 络 内 使 用 rlogin 和 rsh 是 可 以 的 ,这 取决 于 企业 内 部 的 安全 
措施 。 然 而 ,on 依靠 客户 机 程序 进行 安全 检查 ,每 个 人 都 可 以 假冒 客户 机 而 回避 检查 。 
因此 ,on 是 很 不 安全 的 ,即使 在 设 有 防火 墙 的 局 域 网 内 使 用 也 是 如 此 ,最 好 使 on 命令 
类 效 。 
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案例 分 析 


【 灯 例 】 Tdned 汤 洞 玫 击 与 防范 | 


Telnet 是 Internet 上 远程 登录 的 一 种 程序 ;如 果 拥 有 登录 账号 及 密码 ,使 用 者 可 以 通 
过 网 络 登录 到 网 络 另 一 端的 计算 机 上 ,甚至 还 可 以 存 取 那 台 计 算 机 上 的 文件 。 黑 客 可 以 
利用 这 个 程序 远程 入 侵 到 目标 主机 。 


操作 环境 


(1) 局 域 网 主机 。 


(2) Windows XP/2000/2003 系统 。 


操作 步 又 


第 1 步 建立 IPC$ 连 接 ( 假 设 使 用 X-scan 扫描 器 扫描 到 目标 主机 账号 为 
administrator ,密码 为 空 ), 如 图 2.19 所 示 。 


第 2 步 
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2.19 建立 IPC$ 连接 


开启 远程 主机 中 被 禁用 的 Telnet 服务 ,如 图 2.20 所 示 。 
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图 2.20 开启 远程 主机 中 被 禁用 的 Telnet 服务 


第 3 步 断 开 IPC$ 连 接 , 如 图 2.21 所 示 。 


了 可 


2.21 断 开 IPCS$ 连接 


第 4 步 在 本 地 计算 机 上 打开 MS-DOS 界面 ,然后 用 该 MS-DOS 进行 Telnet 登录 ， 
如 图 2 


所 示 。 
Es CAWINMT\system32\ ema ene 


|c:\>telnet 10.18.38.71, 


2.22 Telnet 登录 


第 5 步 输入 “telnet 10. 10. 30.71? 命 令 并 按 Enter 键 后 ,在 打开 的 界面 中 输入 y 表 
示 发 送 密码 并 登录 ,如 图 2.23 所 示 


Internet 


图 2.23 输入 y 
图 2. 24 所 示 为 登录 成 功 后 的 界面 


图 2.24 登录 成 功 后 的 界面 
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第 6 步 图 2.24 就 是 远程 主机 为 Telnet 终端 用 户 打开 的 Shell, 在 该 Shell 中 输入 
的 命令 将 会 直接 在 远程 计算 机 上 执行 。 例 如 ,输入 “net user” 命 令 来 查看 远程 主机 上 的 用 
户 列表 ,如 图 2.25 所 示 。 


2.25 查看 远程 主机 上 的 用 户 列表 


234 文件 传输 协议 


文件 传输 协议 (FTP) 是 从 一 个 系统 向 另 一 个 系统 传递 文件 的 标准 方法 , 它 的 目标 如 下 。 

(1) 促进 文件 和 程序 的 共享 。 

(2) 鼓励 间接 和 含蓄 地 使 用 远程 计算 机 。 

(3) 使 用 户 不 必 面 对 主机 间 使 用 的 不 同 的 文件 存储 系统 。 

(4) 有 效 和 可 靠 地 传输 文件 。 

FTP 应 用 在 C/S(Client/Server) 环 境 。 请 求 计算 机 启动 一 个 FTP 客户 端 软 件 , 这 就 
给 目标 文件 服务 器 发 出 了 一 个 请 求 。 这 个 要 求 被 送 到 端口 21。 一 个 连接 建立 起 来 后 , 目 
标 文件 服务 器 必须 运行 一 个 FTP 服务 软件 。 

大 多 数 站 点 担心 的 是 用 户 会 带 入 有 破坏 性 的 软件 及 一 些 计 算 机 游戏 ,盗版 软件 和 黄 
色 图 片 ,这些 东西 花费 大 量 的 机 时 并 占用 磁盘 空间 ,但 这 并 不 是 主要 的 安全 危险 。 在 进行 
FTP 传输 时 应 当 注 意 , 千 万 不 要 轻信 通过 FTP 传 来 的 任何 软件 。 

对 于 使 用 匿名 FTP 服务 ,用 户 可 以 用 “匿名 ”用 户 名 登录 FTP 服务 器 。 通 常情 况 下 ， 
这 要 求 用 户 提 供 完整 的 电子 邮件 地 址 作为 响应 。 然 而 在 大 多 数 站 点 上 ,这 个 要 求 不 是 强 
制 性 的 ,只 要 它 看 起 来 像 电 子 邮件 地 址 (如 是 否 包 含 @ 符 号 ) , 它 不 对 口令 做 任何 方式 的 校 
验 。 要 确保 匿名 FTP 服务 器 只 能 存 取 允许 存 取 的 信息 ,不 允许 外 人 存 取 本 机 的 其 他 资 
料 , 如 私人 资料 等 。 在 FTP 服务 器 处 理 匿 名 用 户 命 令 之 前 ,许多 FTP 服务 器 执行 chroot 
命令 进入 匿名 FTP 区 。 然 而 为 了 支持 匿名 FTP 和 用 户 FTP,FTP 服务 器 要 访问 所 有 的 
文件 ,这 就 是 说 FTP 服务 器 并 总 是 在 chroot 环境 中 运行 。 

为 了 解决 这 个 问题 ,可 以 通过 修改 系统 的 配置 来 代替 直接 启动 FTP 服务 器 , 它 执行 
chroot ,然后 再 启动 FTP 服务 器 。 建 立 匿名 FTP 系统 的 具体 技术 依赖 于 操作 系统 使 用 
的 特定 FTP 管理 程序 (守护 程序 ) 。 

匿名 用 户 获 取 到 的 不 应 见 到 的 文件 ,通常 是 由 于 内 部 客户 将 文件 放 在 匿名 FTP 区 而 
实现 的 。 如 果 不 希 望 外 界 阅读 自己 的 文件 ,最 好 不 要 给 匿名 的 FTP 提供 文件 。 匿 名 


ED [ 第 = 章 mWwSue ] C2 


FTP 区 的 可 写 路 径 无 论 使 用 何 种 FTP 守护 程序 ,都 将 面临 一 个 特殊 的 问题 : 匿名 FTP 
区 的 可 写 性 。 站 点 经 常 为 此 区 提供 空间 ,以 便 外 部 用 户 能 用 它 上 传 文件 。 

可 写 区 是 非常 重要 的 ,但 也 有 不 安全 的 因素 。 因 为 这 样 的 可 写 路 径 一 旦 被 发 现 , 就 会 
被 Internet 上 的 “地 下 用 户 ” 用 做 “仓库 ”和 非法 资料 的 集散 地 。 


本 章 小 结 


计算 机 网 络 的 基础 是 网 络 通信 协议 ,保证 通信 协议 的 安全 对 计算 机 网 络 的 安全 有 重 
TCP/IP 协议 本 身 在 设计 上 就 是 不 安全 的 ,主要 存在 以 下 的 安全 缺陷 : 网 络 容易 被 窍 
听 和 欺骗 ;TCP/IP 服务 具有 脆弱 性 ;缺乏 安全 策略 ;受到 来 自 Internet 上 的 威胁 。 


本 章 练 习 


一 、 填空 题 
1. TCP/IP 协议 族 中 最 重要 的 两 个 核心 协议 是 协议 与 协议 。 
2. 说 TCP/IP 协议 本 身 在 设计 上 就 是 不 安全 的 ,主要 存在 、 

、 的 安全 缺陷 。 

3. 电子 欺骗 是 针对 等 协议 的 攻击 。 

4. IP 欺骗 ,就 是 伪造 他 人 的 

5. 基于 TCP/IP 协议 的 Internet 服务 有 


.什么 是 TCP/IP 协议 ? 试 述 它 的 工作 原理 。 
.TCP/IP 协议 存在 哪些 安全 问题 ? 

. 网络 本 身 存在 哪些 安全 问题 ? 

.网络 为 什么 是 不 安全 的 ? 

.Internet 上 存在 哪些 威胁 ? 

. 什么 是 电子 欺骗 ? 电子 欺骗 有 哪些 形式 ? 
. FTP 存在 哪些 安全 隐患 ? 如 何 解 决 ? 


ee 宫 辆 上 


实 训 数据 包 的 捕获 分 析 


实 训 目 的 
通过 实 训 理解 网 络 嗅 探 的 原理 ,掌握 捕获 数据 包 的 方法 。 
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实 训 环 境 
Windows 操作 系统 ,Sniffer Portable 软件 ,局 域 网 。 
实 训 步 又 


第 1 步 ”建立 网 络 数 据 包 嗅 探 环境 。 

(1) 硬件 连接 。 以 3 台 计算 机 为 一 组 ,分 别 命名 为 textl \text2 和 text3 ,通过 交换 机 
连接 到 一 起 ,两 台 计 算 机 之 间 进 行 正常 通信 ,第 三 全 计算 机 对 其 进行 数据 包 捕 获 操作 。 

(2) 网 络 配置 。 配 置 3 台 计 算 机 的 IP 地 址 为 同一 网 段 内 的 不 同 IP 地 址 。 

第 2 步 ”捕获 并 分 析 数 据 。 

(1) 计算 机 textl 使 用 Ping 命令 向 计算 机 text2 发 送 ICMP 包 , 使 用 计算 机 text3 进 
行 捕获 ,观察 捕获 数据 包 , 说 明 使 用 Ping 命令 建立 连接 和 返回 应 答 的 过 程 , 并 查看 数据 包 
的 内 容 。 

(2) 计算 机 text2 开启 IIS, 建 立 WWW 和 FTP 服务 。 使 用 计算 机 textl 访问 计算 机 
text2 的 WWW 网 页 和 通过 FTP 进行 上 传 与 下 载 。 计 算 机 text3 捕获 textl 与 text2 之 
间 的 数据 包 ,分析 建立 连接 的 过 程 及 观察 捕获 的 数据 包 内 容 。 

(3) 观察 能 否 捕获 FTP 登录 时 的 账户 名 和 密码 。 

第 3 步 有 针对 性 地 捕获 。 

设置 捕获 策略 , 仅 捕 获 计算 机 textl 从 计算 机 text2 获取 的 网 页 内 容 。 


知识 目标 
。 了 解 威胁 数据 安全 的 各 种 因素 。 
。 掌握 传统 和 现代 的 数据 加 密 技术 及 其 基本 概念 。 
。 数字 签名 的 概念 、 原 理 及 应 用 。 
技能 目标 
。 能 够 使 用 对 称 加 密 软 件 加 、 解 密 数 据 。 
。 能 够 使 用 加 密 软 件 PGP 加 、 解 密 数 据 。 
。 能 够 应 用 数字 签名 技术 。 


密码 学 是 一 门 古老 而 深奥 的 学 科 , 有 着 悠久 、 灿 烂 的 历史 。 最 早 的 密码 形式 可 以 追溯 
到 4000 多 年 前 古 埃及 人 在 墓志 铭 中 使 用 过 的 类 似 于 象形 文字 的 奇妙 符号 。 从 古 至 今 , 密 
码 技术 一 直 在 社会 各 个 领域 ,尤其 是 军事 .外 交 等 领域 广泛 使 用 。 在 今天 , 随 着 计算 机 网 
络 和 通信 技术 的 发 展 , 密 码 技术 更 是 得 到 了 前 所 未 有 的 重视 ,并 迅速 普及 和 发 展 起 来 。 它 
已 经 成 为 计算 机 安全 研究 的 一 个 主要 方向 。 


3.1 密码 技术 简介 


密码 学 包括 两 部 分 内 容 : 编码 学 和 编码 分 析 学 。 编 码 学 是 通过 编码 技术 将 被 保护 信 
息 的 形式 改变 ,使 编码 后 的 信息 除了 指定 的 接收 者 外 其 他 人 无 法 理解 的 一 门 学 问 ,也 就 是 
加 密 算 法 的 研究 和 设计 。 编 码 分 析 学 是 研究 如 何 攻 破 一 个 密码 系统 ,将 被 加 密 的 信息 恢 
复 , 也 就 是 密码 破译 技术 。 这 两 部 分 内 容 是 矛 与 盾 的 关系 。 密 码 系统 包括 5 个 要 素 : 明 
文 信息 空间 、 密 文 信息 空间 、 密 钥 空间 .加密 变换 E 和 解密 变换 D。 图 3. 1 给 出 了 密码 系 
统 示意 图 。 

”明文 , 指 加 密 前 的 原始 信息 。 

。 密 文 , 指 通过 加 密 手 段 加 密 后 的 信息 。 

。 加 密 过 程 , 指 将 明文 进行 数据 转换 变 成 密 文 的 过 程 。 

”解密 过 程 , 指 利用 加 密 的 逆转 换 将 密 文 恢复 成 明文 的 过 程 。 

。 密 钥 ,指控 制 加 密 和 解密 运算 的 符号 序列 。 
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| | 


加 密 密 钥 解密 密 钥 
图 3.1 密码 系统 示意 图 


密码 系统 理论 上 要 求 使 用 方便 ,并 且 对 系统 的 保密 不 依赖 于 对 加 密 算法 和 解密 算法 
的 保密 ,而 只 依赖 于 对 密 钥 的 保密 。 这 样 ,即使 密 文 和 对 应 的 明文 被 截获 后 , 仍 不 容易 进 
行 解密 变换 。 

一 个 较为 成 熟 的 密码 体系 ,其 算法 应 该 是 公开 的 ,而 密 钥 是 保密 的 。 这 样 , 使 用 者 只 
需 简单 地 修改 密 钥 , 就 可 以 达到 改变 加 密 过 程 和 加 密 结果 的 目的 。 密 钥 通 常 由 一 小 串 字 
符 组 成 ,可 以 选择 多 种 可 能 的 加 密 过 程 和 加 密 结果 对 它 进 行 设计 ,并 且 可 以 按 需 频繁 更 
换 。 在 加 密 系 统 的 设计 中 , 密 钥 的 长 度 是 一 个 主要 的 设计 问题 。 一 个 2 位 数字 的 密 钥 意 
味 着 有 100 种 可 能 性 ,一 个 3 位 数字 的 密 钥 意味 着 有 1000 种 可 能 性 ,一 个 6 位 数字 的 密 
钥 意 味 着 有 100 万 种 可 能 性 。 密 钥 越 长 ,加密 系统 被 破译 的 几率 就 越 低 。 

根据 数据 加 密 的 方式 ,加 密 算 法 可 以 分 为 对 称 密 钥 加 密 算 法 (简称 对 称 算法 ) 和 非 对 
称 密 钥 加 密 算法 (简称 非 对 称 算法 ) 两 种 ,也 称 为 对 称 加 密 技术 和 非 对 称 加 密 技 术 。 对 称 
算法 是 指 加 密 和 解密 的 过 程 使 用 同一 个 密 钥 。 它 的 特点 是 运算 速度 非常 快 ,适用 于 对 数 
据 本 身 的 加 /解密 操作 。 常 见 的 对 称 算法 有 DES、TDEA(3DES) IDEA、AES、MD5 算法 
等 。 相 对 于 对 称 算法 来 讲 , 非 对 称 算法 的 运算 速度 要 慢 得 多 ,但 是 在 多 人 协作 或 需要 身份 
认证 的 数据 安全 应 用 中 , 非 对 称 算法 的 运算 具有 不 可 替代 的 作用 。 使 用 非 对 称 算法 对 数 
据 进行 签名 ,可 以 证 明 数据 发 行者 的 身份 并 保证 数据 在 传输 的 过 程 中 不 被 算 改 。 在 这 种 
加 密 算 法 中 有 两 个 密 钥 ,一 个 称 为 公 钥 ,一 个 称 为 私 钥 。 在 加 密 时 , 公 钥 用 于 加 密 , 私 钥 用 
于 解密 。 这 种 算法 比较 复杂 ,如 RSA 算法 `.PGP 算法 等 ,通常 用 于 数据 加 密 。 由 于 非 对 
称 算法 的 速度 较 慢 ,现在 多 采用 对 称 算法 与 非 对 称 算法 相 结 合 的 加 密 方法 ,这 样 , 既 可 以 
有 很 高 的 加 密 强 度 , 也 可 以 有 较 快 的 加 密 速度 。 此 方法 已 广泛 用 于 Internet 的 数据 加 密 
传送 和 数字 签名 。 通 过 对 传输 的 数据 进行 加 密 来 保障 其 安全 性 ,已 经 成 为 了 一 项 计算 机 
网 络 系统 安全 的 基本 技术 , 它 可 以 用 很 小 的 代价 为 数据 信息 提供 相当 大 的 安全 保护 ,是 一 


种 主动 的 安全 防御 策略 。 
3.2 传统 的 加 密 方法 
321 替代 密码 
在 替代 密码 中 ,用 一 组 密 文字 母 来 代替 一 组 明文 字母 以 隐藏 明文 ,但 保持 明文 字母 的 
位 置 不 变 。 


最 古老 的 替代 密码 是 恺 撤 密 码 : 它 用 D 表示 a. 用 表示 b, 用 下 表示 c,*…… ;用 C 表 
示 z, 也 就 是 说 密 文 字母 相对 明文 字母 左 移 了 3 位 。 为 清楚 起 见 ,一律 用 小 写 表示 明文 ， 
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用 大 写 表示 密 文 , 这 样 明文 的 “cipher” 就 变 成 了 密 文 的 “FLSKHU”。 以 此 类 推 ,可 以 让 密 
文字 母 相对 明文 字母 左 移 & 位 ,这 样 就 成 了 加 密 和 解密 的 密 钥 。 这 种 密码 是 很 容易 被 
破译 的 ,因为 最 多 只 需 尝试 25 次 (4 二 1~25) 即 可 轻松 破译 密码 。 

较 复杂 的 密码 是 明文 字母 和 密 文字 母 之 间 的 映射 关系 , 它 没有 规律 可 循 ,比如 将 26 
个 英文 字母 随意 映射 到 其 他 字母 上 ,这 种 方法 称 为 单字 母 表 蔡 换 , 其 密 钥 是 对 应 于 可 能 的 
密 钥 ,即使 计算 机 每 微 秒 试 一 个 密 钥 ,也 需要 1013 年 。 但 事实 上 完全 不 需要 这 么 做 ,破译 
者 只 要 拥有 很 少 一 点 密 文 ,利用 自然 语言 的 逻辑 特征 ,很 容易 就 可 破译 密码 。 破 译 的 关键 
在 于 找 各 种 字母 或 字母 组 合 出 现 的 频率 ,比如 经 统计 发 现 ,英文 中 字母 e 出 现 的 频率 最 
高 ,其 次 是 t、o、a、n.i 等 ,最 常见 的 两 字母 组 合 依次 为 th、in、er、re 和 an, 最 常见 的 三 字母 
组 合 依次 为 the、ing、and 和 ion。 因 此 ,破译 者 首先 可 将 密 文中 出 现 频率 最 高 的 字母 定 为 
e;, 频 率 次 高 的 字母 定 为 t…… 然后 猜测 最 常见 的 两 字母 组 ,三 字母 组 ,比如 密 文中 经 常 出 
现 tXe, 就 可 以 推测 X 很 可 能 就 是 h, 如 经 常 出 现 thYt, 则 Y 很 可 能 就 是 a 等 。 采 用 这 种 
合理 的 推测 ,破译 者 就 可 以 逐 句 组 织 出 一 个 试验 性 的 明文 。 

为 了 去 除 密 文中 字母 出 现 的 频率 特征 ,可 以 使 用 多 张 密码 字母 表 , 对 明文 中 不 同位 置 
上 的 字母 用 不 同 的 密码 字母 表 来 加 密 。 比 如 任意 选择 26 张 不 同 的 单字 母 密码 表 , 相 互 间 
排 定 一 个 顺序 ,然后 选择 一 个 简短 易 记 的 单词 或 短语 作为 密 钥 , 在 加 密 一 条 明文 时 ,将 密 
钥 重 复写 在 明文 的 上 面 , 则 每 个 明文 字母 上 的 密 钥 字 母 即 指出 该 明文 字母 用 哪 一 张 单字 
母 密码 表 来 加 密 。 

例如 ,要 加 密 明 文 “please execute the latest scheme”, 密 钥 为 computer, 则 将 
computer 重复 写 在 报 文 上 面 ,如 图 3. 2 所 示 。 
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图 3.2 把 一 段 明 文 用 密 钥 computer 进行 加 密 


于 是 第 1 个 明文 字母 p 用 第 3 张 (假设 a 一 z 分 别 表示 顺序 1 一 26) 单 字母 密码 表 加 
密 , 第 2 个 明文 字母 1 用 第 12 张 单字 母 密码 表 加 密 …… 显然 ,同一 个 明文 字母 因 位 置 不 
同 而 在 密 文 中 可 能 用 不 同 的 字母 来 表示 ,从 而 消除 了 各 种 字母 出 现 的 频率 特征 。 

虽然 破译 多 字母 密码 表 要 困难 一 些 , 但 如 果 破 译 者 手头 有 较 多 的 密 文 ,仍然 是 可 以 破 
译 的 ,破译 的 诀窍 在 于 猜测 密 钥 的 长 度 。 首 先 破译 者 假设 密 钥 的 长 度 , 然 后 将 密 文 按 每 行 
个 字母 排 成 若干 行 ,如 果 猜 测 正确 .那么 同一 列 的 密 文字 母 应 是 用 同一 单字 母 密码 加 密 
的 ,因此 ,同一 列 中 各 密 文字 母 的 频率 分 布 应 与 英文 相同 , 即 最 常用 字母 (对 应 明文 字母 
e) 的 频率 为 13% ,次 常用 字母 (对 应 明文 字母 tb) 的 频率 为 9% 等 。 如 果 猜 测 不 正确 , 则 换 
一 个 & 值 进行 重 试 , 一 旦 猜测 正确 , 即 可 逐 列 用 破译 单字 母 表 密码 的 方法 进行 破译 。 进 一 
步 提高 破译 难度 可 以 使 用 比 明文 更 长 的 密 钥 ,使 上 述 破译 方法 失效 ,但 这 样 的 密 钥 难以 记 
忆 , 必 须 记 在 纸 上 , 这 就 增加 了 失 密 的 可 能 性 。 


322 换 位 密码 
换 位 有 时 也 称 为 排列 , 它 不 对 明文 字母 进行 变换 ,只 是 将 明文 字母 的 次 序 进行 重新 排 
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列 。 图 3.2 是 一 种 常用 的 换 位 密码 , 它 的 密 钥 必须 是 一 个 不 含 重复 字母 的 单词 或 短语 ,加 
密 时 将 明文 按 密 钥 长 度 截 成 若干 行 排 在 密 钥 下 面 ,按照 密 钥 字母 在 英文 字母 表 中 的 先后 
顺序 给 各 列 编号 ,然后 按照 编 好 的 序号 按 列 输出 明文 即 成 密 文 。 换 位 的 步骤 如 下 。 

(1) 判断 密码 类 型 ,检查 密 文中 下.T、O、A、N.I 等 字母 出 现 的 频率 ,如 果 符 合 自然 语 
言 特征 , 则 说 明 密 文 是 用 换 位 密码 做 的 。 

(2) 猜测 密 钥 的 长 度 , 也 即 列 数 。 在 许多 情况 下 ,破译 者 根据 消息 的 上 下 文 ,常常 可 
以 猜测 出 消息 中 可 能 包含 的 单词 或 短语 ,选择 的 单词 或 短语 最 好 长 一 些 , 使 其 至 少 可 能 跨 
越 两 行 ,如 latestscheme。 将 选择 的 单词 或 短语 按照 假定 的 长 度 & 截 成 几 行 ,由 于 同一 列 
上 相 邻 的 字母 在 密 文 中 必 是 相 邻 的 ,因此 ,可 以 将 各 列 上 的 各 种 字母 组 合 记 下 来 ,在 密 文 
中 搜索 。 如 将 latestscheme 按照 假设 的 长 度 8 截 成 两 行 , 则 相 邻 的 字母 组 合 有 lh ,ae ,tm 
和 ee。 假如 设想 的 是 正确 的 , 则 大 部 分 设想 的 字母 组 合 在 密 文 中 都 会 出 现 ;如果 搜索 
不 到 , 则 换 一 个 再 试 。 通 过 寻找 各 种 可 能 性 ,破译 者 常常 能 够 确定 密 钥 的 长 度 。 

(3) 确定 各 列 的 顺序 。 如 果 列 数 比较 少 的 话 , 可 以 逐个 检查 k(k 一 1) 个 列 对 ,查看 
它们 的 三 字母 组 的 频率 是 否 符 合 英 文 统计 特征 ,与 特征 符合 最 好 的 列 对 认为 其 位 置 正 
确 。 然 后 从 剩 下 的 列 中 寻找 这 两 列 的 后 继 列 ,如 果 某 列 和 这 两 列 对 组 合 后 ,二 字母 组 
和 三 字母 组 的 频率 都 很 好 地 符合 英文 统计 特征 ,那么 该 列 就 是 正确 的 后 继 列 。 通 过 同 
构 法 也 可 以 找到 它们 的 前 趋 列 ,直至 最 终 将 所 有 的 列 序 全 部 找到 。 图 3. 3 是 一 个 换 位 


密码 的 例子 。 
C 0 M P U T E R 明文 
a 2 e 7 : 6 pleaseexecutethelatestscheme 
p 1 e a Ss © e x 
ee c u t e t h e 密 文 
1 a t 各 S 由 S 9 PELHEHSCEUTMLCAE 
h e m 让 攻 b 了 d ATEEXECDETTBSESA 
图 3.3 一 个 换 位 密码 的 例子 
请 5 
3.3 常用 的 加 密 技术 
331 CES 算 法 


数据 加 密 标准 (data encryption standard, DES) 是 由 IBM 公司 研制 的 加 密 算法 ,于 
1977 年 被 美国 政府 采用 ,作为 商业 和 非 保密 信息 的 加 密 标准 被 广泛 采用 。 尽 管 该 算法 较 
复杂 ,但 易于 实现 。 它 只 对 小 的 分 组 进行 简单 的 逻辑 运算 ,用 硬件 和 软件 实现 起 来 都 比较 
容易 ,尤其 是 用 硬件 实现 使 该 算法 的 速度 加 快 。 


1. DES 算法 的 描述 
DES 算法 将 信息 分 成 64bit 的 分 组 ,并 使 用 56bit 长 度 的 密 钥 。 它 对 每 一 个 分 组 使 用 
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一 种 复杂 的 变 位 组 合 、 蔡 换 , 再 进行 异 或 运算 和 其 他 一 些 过 程 , 最 后 生成 64bit 的 加 密 数 

据 。 对 每 一 个 分 组 进行 19 步 处 理 , 每 一 步 的 输出 是 下 一 步 的 输入 。 图 3. 4 显示 了 DES 

算法 的 主要 步 又 。 _ 
第 一 步 对 64bit 数据 和 56bit 密 钥 进行 变 位 ;第 2 一 17 步 ( 共 16 i 

步 ) 除 了 使 用 源 于 原 密 钥 的 不 同 密 钥 外 ,每 一 步 的 运算 过 程 都 相同 , 包 各 而 认 

括 很 多 操作 ;第 18 步 将 前 32bit 与 后 32bit 交换 ;最 后 一 步 是 第 一 步 的 1 

道 过 程 , 进 行 男 一 个 变 位 。 : 
图 3.5 显示 了 第 2~17 步 的 每 一 步 的 主要 操作 ,图 中 的 符号 说 明 | 第 ?上 加 密 


| 
如 下 。 | 第 18 步 交换 
(1) C64, 指 64bit 的 待 加 密 信息 。 1 
(2) K56, 指 56bit 的 密 钥 。 第 19 步 变 位 
(3) L32, 指 C64 的 前 32bit。 图 3.4 DES 算 法 的 
(4) R32, 指 C64 的 后 32bit。 主要 步骤 
R321 K561 
通过 变 位 某 些 位 及 复制 其 他 位 而 扩展 为 48bit 对 56bit 捉 的 每 个 半 申 执 行 循环 左 移 并 变 位 
R48 K48 
对 48bit 异 或 
上 >x4s 
分 成 8 个 6bit 组 


Tx6f x6 1 x6 1 x6 1x6 1 X61x6 4x6 


对 各 个 6bit 组 进行 生成 4bit 的 结 


I 
1X4 1X4 1x4 1X4 4X4 1X4 41X44X4 
组 合成 32bit 电 ， 并 变 位 


L32} | X32 


异 或 
X321 1R32 
以 R32 为 前 ，X32 为 后 ， 生 成 64bit 串 
ce4l 


图 3.5 DES 算法 的 加 密 操作 流程 


其 他 带 下 标的 字母 中 的 下 标 都 表示 bit 数 , 如 X48 代表 处 理 过 程 中 的 48bit 的 中 间 
bit 串 。 

在 每 一 步 中 , 密 钥 先 移 位 ,再 从 56bit 的 密 钥 中 选 出 48bit。 数 据 后 32bit 扩展 为 
48bit, 并 与 经 过 移 位 和 置换 的 48bit 密 钥 进行 一 次 异 或 操作 ,其 结果 通过 8 组 (每 组 6bit) 
输出 ,将 这 64bit 蔡 代 新 的 32bit 数据 ,再 将 其 变 位 一 次 ,生成 32bit 串 X32。X32 与 前 半 
部 分 的 32bit 进行 异 或 运算 ,其 结果 即 成 为 新 的 后 半 部 分 的 32bit, 原来 的 后 半 部 分 的 
32bit 成 了 新 的 前 半 部 分 。 将 该 操作 重复 16 次 ,就 实现 了 DES 的 16 轮 加 密 运算 。 
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经 过 精心 设计 ,DES 的 解密 和 加 密 可 使 用 相同 的 密 钥 和 相同 的 算法 ,二 者 唯一 的 不 
同 之 处 是 密 钥 的 次 序 相反 。 


2. DES 算法 的 安全 性 


DES 算法 的 加 密 和 解密 密 钥 相 同 ,属于 一 种 对 称 加 密 技术 。 对 称 加 密 技术 从 本 质 上 
说 都 是 使 用 替代 密码 和 换 位 密码 进行 加 密 的 。 

DES 算法 的 安全 性 长 期 以 来 一 直 都 受到 人 们 的 怀疑 。 主 要 是 因为 DES 算法 的 安全 
性 对 于 密 钥 的 依赖 性 太 强 , 一 旦 密 钥 泄露 出 去 , 则 跟 密 文 相 对 应 的 明文 内 容 就 会 暴露 无 
遗 。DES 对 密 钥 的 过 分 依赖 使 穷 举 破 解 成 为 可 能 。 在 早期 (20 世纪 七 八 十 年 代 ) 由 于 专 
门 用 于 穷 举 破译 DES 的 并 行 计算 机 的 造价 太 高 ,而 且 要 从 256 一 7112 种 密 钥 中 找 出 一 种 
来 ,还 是 相当 费时 、 费 力 的 ,用 DES 算法 来 保护 数据 是 安全 的 。 现 在 ,由 于 计算 机 的 运算 
速度 ,存储 容量 及 跟 计算 相关 的 算法 都 有 了 比较 大 的 改进 ,56bit 长 的 密 钥 对 于 保密 价值 
高 的 数据 来 说 已 经 不 够 安全 了 。 当 然 ,可 以 通过 增加 密 钥 长 度 来 增加 破译 的 难度 进而 增 
强 其 安全 性 。 


3. 密 钥 的 分 发 与 保护 


DES 算法 加 密 和 解密 使 用 相同 的 密 钥 ,通信 双方 进行 通信 前 必须 事先 约定 一 个 密 
钥 , 这 种 约定 密 钥 的 过 程 称 为 密 钥 的 分 发 或 交换 。 关 键 是 如 何 进行 密 钥 的 分 发 才能 在 分 
发 的 过 程 中 对 密 钥 保密 ,如 果 在 分 发 过 程 中 密 钥 被 窃取 ,再 长 的 密 钥 也 无 济 于 事 。 

最 常用 的 一 种 交换 密 钥 的 方法 是 “难题 "的 使 用 “难题 "是 一 个 包含 潜在 密 钥 的 内 
容 ,必须 去 破解 。 使 用 难题 交换 密 钥 的 基本 过 程 如 下 。 

(1) 发 送 方 发 送 个 难题 ,各 用 不 同 的 密 钥 加 密 。 接 收 方 并 不 知道 解密 密 钥 , 必 须 去 
破解 。 

(2) 接收 方 随机 选择 一 个 难题 并 破解 它 。 因 为 有 插入 在 难题 中 的 模式 ,使 接收 方 能 
判断 出 是 否 破解 。 

(3) 接收 方 从 难题 中 抽出 加 密 密 钥 ,并 返回 给 发 送 方 一 个 信息 指明 他 破解 难题 的 标 
识 号 。 

(4) 发 送 方 接收 到 接收 方 的 返回 信息 后 ,双方 即 按照 此 难题 的 密 钥 进行 加 密 了 。 

人 们 可 能 会 问 ,其 他 人 也 可 能 截获 这 些 难题 ,他 们 也 可 以 去 破解 。 关 键 是 他 们 不 知道 
接收 方 选择 的 难题 的 标识 号 ,即便 是 他 们 又 截获 了 接收 方 返回 给 发 送 方 的 信息 ,得 到 难题 
的 标识 号 ,但 等 他 们 破解 以 后 ,通信 双方 的 通信 过 程 可 能 已 经 结束 了 。 


4. 三 重 数据 加 密 算法 
三 重 数 据 加 密 算 法 (three data encryption algorithm,TDEA) 在 1985 年 第 一 次 为 金 
融 应 用 进行 了 标准 化 ,在 1999 年 合并 到 数据 加 密 标准 中 。 


TDEA 使 用 3 个 密 钥 ,按照 加 密 一 解密 一 加 密 的 次 序 执行 3 次 DES 算法 。 加 密 、 解 
密 的 过 程 如 图 3.6 所 示 。 


K K, Ks 

P 机 ! A -| 1 B | ! 
加 密 

S| | | 
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解密 


图 3.6 TDEA 的 加 密 、 解 密 过 程 


图 3.6 中 ,P 为 明文 ,C 为 密 文 ,E 为 使 用 密 钥 K, 加 密 ,D 为 使 用 密 钥 K, 解密 。 
TDEA 使 用 3 个 不 同 的 密 钥 , 总 有 效 长 度 为 168bit, 加 强 了 算法 的 安全 性 。 


5. IDEA 算法 


IDEA( 国 际 数据 加 密 算法 ) 是 瑞士 著名 学 者 提出 的 。IDEA 是 在 DES 算法 的 基础 上 
发 展 起 来 的 一 种 安全 、 高 效 的 分 组 密码 系统 。 

IDEA 密码 系统 的 明文 和 密 文 长 度 均 为 64bit, 密 钥 长 度 则 为 128bit。 其 加 密 由 8 轮 
类 似 的 运算 和 输出 变换 组 成 ,主要 有 蜡 或 , 模 加 和 模 乘 3 种 运算 。 

IDEA 密码 系统 在 加 密 和 解密 运算 中 ,仅仅 使 用 作用 于 16bit 子 块 对 的 一 些 基本 运 
算 ,因此 效率 很 高 。IDEA 密码 系统 具有 规则 的 模块 化 结构 ,有 利于 加 快 其 硬件 实现 速 
度 。 由 于 IDEA 的 加 密 和 解密 过 程 是 相似 的 ,所 以 有 可 能 采用 同一 种 硬件 器 件 来 实现 加 
密 和 解密 。 

IDEA 算法 的 密 钥 长 度 为 128bit, 是 DES 密 钥 长 度 的 两 倍 。 它 能 够 抵抗 差分 密码 分 
析 方 法 和 相关 密 钥 分 析 方 法 的 攻击 。 科 学 家 已 证 明 IDEA 算法 在 其 8 轮 迭 代 的 第 4 轮 之 
后 便 不 受 差分 密码 分 析 的 影响 了 。 假 定 穷 举 法 攻击 有 效 的 话 , 那 么 即使 设计 一 种 每 秒 钟 
可 以 试验 10 亿 个 密 钥 的 专用 芯片 ,并 将 10 亿 片 这 样 的 芯片 用 于 此 项 工作 , 仍 需 1013 年 
才能 解决 问题 。 目 前 , 尚 无 一 篇 公开 发 表 的 试图 对 IDEA 进行 密码 分 析 的 文章 。 因 此 ,应 
当 说 目前 IDEA 是 一 种 安全 性 好 、 效 率 高 的 分 组 密码 算法 。 
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案例 分 析 
Apocalypso 软件 是 一 款 应 用 广泛 .基于 DES 算法 的 加 密 软 件 。 
操作 环境 


Windows XP/2000/2003 操作 系统 ,Apocalypso 加 密 软 件 。 


| 计算 机 网 络 安全 技术 案例 教程 | 本 


操作 步 又 


第 1 步 ”在 桌面 上 创建 一 个 文本 文件 , 取 名 为 text. txt, 如 图 3.7 所 示 。 


加 Ej 


图 3.7 创建 一 个 文本 文件 
第 2 步 打开 Apocalypso 软件 主 界面 ,准备 对 文件 进行 加 密 , 如 图 3.8 所 示 。 


2» Apocalypso vl-3 by HBC Network E] 9 区 | 
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assword / Short Text Enctyption 
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图 3.8 Apocalypso 软件 主 界面 


第 3 步 单 击 Blowfish Encryption 按钮 ,进入 文件 加 、 解 密 界面 ,如 图 3.9 所 示 。 

第 4 步 在 File to be Encrypted/Decrypted 文本 框 中 选择 要 加 密 的 文件 text. txt， 
如 图 3. 10 所 示 。 

第 5 步 在 Output File 文 本 框 中 选择 加 密 后 文件 存放 的 位 置 ,并 将 加 密 后 生成 的 文 
件 取 名 为 text2. txt, 如 图 3.11 所 示 。 


Apocalypso 一 Blowfish Encryption Apocalypso — Blowfish Encryption 


= 局 


EE 
Nuwar Mu hom, 


Enter Passphrase here Enter Passphrase here 


图 3.9 文件 加 、 解 密 界面 图 3.10 选择 要 加 密 的 文件 text. txt 


第 6 步 在 Enter Passphrase here 文本 框 中 输入 加 密 / 解 密 的 密码 aa, 如 图 3.12 所 
示 , 然 后 单 击 Encrypt File 按钮 ,文件 开始 加 密 , 直 到 出 现 加 密 结束 提示 ,如 图 3.13 所 示 。 


Apocalypso -BIOowFish Encryption 


图 3.11 选择 加 密 后 文件 存放 的 位 置 图 3.12 输入 加 密 /解密 的 密码 
第 7 步 找到 并 打开 加 密 文 件 text2. txt, 可 看 到 文档 内 容 为 乱码 ,说 明 已 被 加 密 , 如 
图 3.14 所 示 。 
胃 text2-txt 一 记事 本 


文件 中， 编 狂 @) 格式 @) 查看 WD) 大助 
?8? 租 Pp 肛 5% 砚 套 且 dn19 需 ? 先 ! 狙 啉 Eg 散 


Inforaation ”网 | 


@ File Encrypted 


图 3.13 加 密 结束 提示 图 3.14 文档 内 容 
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第 8 步 解密 。 单 击 Blowfish Encryption 按钮 ,进入 文件 加 密 / 解 密 界 面 ,在 File to 
be Encrypted/Decrypted 文本 框 中 选择 要 解密 的 文件 text2. txt, 在 Output File 文本 框 
中 选择 解密 后 文件 存放 的 位 置 , 并 将 加 密 后 生成 的 文件 取 名 为 text3. txt， 在 Enter 
Passphrase here 文本 框 中 输入 加 密 / 解 密 的 密码 aa, 然 后 单 击 Decrypt File 按钮 ,文件 开 
始 解密 ,如 图 3.15 所 示 , 直 到 出 现 解密 结束 提示 ,如 图 3.16 所 示 。 
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图 3.15 输入 加 密 /解密 的 密码 aa 图 3.16 解密 结束 提示 


第 9 步 找到 并 打开 解密 后 的 文件 text3. txt, 原 密 文 已 恢复 为 明文 ,说 明文 件 已 被 
解密 ,如 图 3.17 所 示 。 
固 text3.txt - 记事 本 


文件 四 编 强 时 ) 格式 @) 查看 中 帮助 00D 
时 称 加 密实 验 


图 3.17 文件 解密 后 的 内 容 


332 RSA 算 法 


公开 密 钥 加 密 算 法 (RSA 算法 ) 展 现 了 密码 应 用 中 的 一 种 革新 的 思想 。 它 采用 非 对 
称 加 密 算法 , 即 加 密 密 钥 和 解密 密 钥 不 同 。 因 此 ,在 采用 加 密 技术 进行 通信 的 过 程 中 ,不 
仅 加 密 算法 本 身 可 以 公开 ,甚至 加 密 用 的 密 钥 也 可 以 公开 (为 此 加 密 密 钥 也 被 称 为 公 钥 )， 
而 解密 密 钥 由 接收 方 自己 保管 (为 此 解密 密 钥 也 被 称 为 私 钥 ) ,增加 了 保密 性 。 

RSA 算法 是 由 R. Rivest、A. Shamir 和 L. Adleman 于 1997 年 提出 的 。RSA 的 取 名 
就 来 自 于 这 三 位 发 明 者 姓 的 第 一 个 字母 。 后 来 ,他 们 在 1982 年 创办 了 以 RSA 命名 的 公 
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司 RSA Data Sectrity Inc. 和 RSA 实验 室 , 该 公司 和 实验 室 在 公开 密 钥 密码 系统 的 研究 
和 商业 应 用 推广 方面 具有 举足轻重 的 地 位 。 

目前 ,RSA 被 广泛 应 用 于 各 种 安全 和 认证 领域 ,如 Web 服务 器 和 浏览 器 信息 安全 、 
电子 邮件 的 安全 和 认证 、 对 远程 登录 的 安全 保证 和 各 种 电子 信用 卡 系统 。 

RSA 算法 使 用 模 运 算 和 大 数 分 解 ,算法 的 部 分 理论 基于 数学 中 的 数论 。 下 面 通过 具 
体 实例 说 明 该 算法 是 如 何 工作 的 。 为 了 简化 起 见 , 在 该 实例 中 仅 考虑 包含 大 写字 母 的 信 
息 。 实 际 上 该 算法 可 以 推广 到 更 大 的 字符 集 。 


1. RSA 算法 的 加 密 过 程 


RSA 算法 的 加 密 过 程 如 下 。 

(1) 为 字母 制定 一 个 简单 的 编码 ,如 A 一 Z 分 别 对 应 1 一 26 。 

(2) 选择 一 个 足够 大 的 数 ,使 为 两 个 大 的 素数 (只 能 被 1 和 自身 整除 的 数 )p 和 4 
的 乘积 。 为 便于 说 明 , 在 此 使 用 n 二 pXg 二 3X11 二 33。 

(3) 找 出 一 个 数 ,k 与 (p 一 1)X(g 一 1) 互 为 素数 。 此 例 中 选择 k= 二 3, 与 2X10==20 
互 为 素数 。 数 字 & 就 是 加 密 密 钥 。 根 据 数论 中 的 理论 ,这 样 的 数 一 定 存在 。 

(4) 将 要 发 送 的 信息 分 成 多 个 部 分 ,一 般 可 以 将 多 个 字母 分 为 一 部 分 。 在 此 例 中 将 
每 一 个 字母 作为 一 部 分 。 若 信息 是 SUZAN , 则 分 为 SU Z、.A 和 N。 

(5) 对 每 部 分 ,将 所 有 字母 的 二 进 制 编码 串 接 起 来 ,并 转换 成 整数 。 在 此 例 中 各 部 分 
的 整数 分 别 为 19、21、26、1 和 14。 

(6) 将 每 个 部 分 扩大 到 它 的 次 方 ,并 使 用 模 n 运算 ,得 到 密 文 。 在 此 例 中 分 别 是 
193 mod 33 二 28,213 mod 33 二 21,263 mod 33 二 20,13 mod 33 二 1 和 143 mod 33 二 5。 接 
收 方 收 到 的 加 密 信息 是 28、21、20、1 和 5。 


2. RSA 算法 的 解密 过 程 


(1) 找 出 一 个 数 & 使 得 &Xk' 一 1 二 0 mod ((p 一 1)X(g 一 1)), 即 kXk' 一 1 能 被 (p 一 
1) X (g 一 1) 整 除 。k' 的 值 就 是 解密 密 钥 。 在 此 例 中 选择 k= 二 7,3X7 一 1 二 20,(p 一 1)X 
(g 一 1) 二 20, 能 被 整除 。 

(2) 将 每 个 密 文 扩 大 到 它 的 次 方 ,并 使 用 模 运算 ,可 得 到 明文 。 在 此 例 中 分 别 为 
287 mod 33 二 19,217 mod 33 二 21,207 mod 33 二 26,17 mod 33 二 1 和 57 mod 33 二 14。 接 
收 方 解 密 后 得 到 的 明文 的 数字 是 19、21、26、1 和 14, 对 应 的 字母 是 SU、Z、A 和 N。 

上 述 的 加 密 和 解密 过 程 可 以 用 表 3. 1 表示 。 


3. RSA 算法 的 安全 性 


RSA 算法 的 加 密 过 程 要 求 和 上 ,解密 过 程 要 求 n 和 k'。n 和 A 及 算法 都 是 公开 的 。 
现在 已 知 和 A 的 情况 下 是 否 能 很 容易 或 很 快 求 出 &' 是 衡量 RSA 算法 安全 性 的 关键 
因素 


在 已 知 n 和 & 的 情况 下 求 k" 的 关键 是 对 的 因 式 分 解 , 找 出 的 两 个 素数 p 和 g。 
而 对 算法 的 安全 ,就 必须 选择 大 的 ”也 就 意味 着 密 钥 要 足够 长 。 
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表 3.1 RSA 算法 的 加 密 和 解密 过 程 


发 送 方 计算 机 接收 方 计算 机 
明文 密 文 解密 
Ps E7 
符号 数值 Ps mod 33 E’ mod 33 符号 
S 19 6859 28 12492928512 19 S 
U 21 9261 21 1801088541 21 U 
艺 26 17576 20 1280000000 26 Z 
A 1 1 1 1 1 A 
N 14 2744 5 78125 14 N 


密 钥 越 长 ,安全 性 也 就 越 高 ,但 相应 的 计算 机 运算 速度 也 就 越 慢 。 由 于 高 速 计算 机 的 
出 现 , 以 前 认为 已 经 很 具有 安全 性 的 512bit 密 钥 长 度 已 经 不 再 满足 人 们 的 需要 。1997 
年 ,RSA 组 织 公 布 当 时 密 钥 长 度 的 标准 是 个 人 使 用 768bit 密 钥 ,公司 使 用 1024bit 密 钥 ， 
而 一 些 非常 重要 的 机 构 要 使 用 2048bit 密 钥 。 
4. 对 称 和 非 对 称 数 据 加 密 技术 的 比较 
对 称 数据 加 密 技术 和 非 对 称 数 据 加 密 技术 的 区 别 如 表 3. 2 所 示 。 
表 3.2 ”对称 数据 加 密 技术 和 非 对 称 数据 加 密 技术 的 比较 


项 目 对 称 数据 加 密 技 术 非 对 称 数据 加 密 技术 
密码 个 数 Wi 二 2 个 
算法 速度 较 快 较 慢 
算法 对 称 性 对 称 ,解密 密 钥 可 以 从 加 密 密 钥 中 推算 | 不 对 称 ,解密 密 钥 不 能 从 加 密 密 钥 中 推 
出 来 算出 来 
对 数据 进行 数字 签名 、 确 认 、 鉴 定 、 密 钥 
主要 应 用 领域 | 数据 的 加 密 和 解密 管理 和 数字 封装 等 
典型 算法 实例 | DES 等 RSA 等 
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PGP(pretty good privacy) 是 一 种 操作 简单 、 使 用 方便 、 普 及 程度 较 高 的 ,基于 不 对 称 
加 密 算法 RSA 公 钥 体系 的 邮件 加 密 软件 。PGP 不 但 可 以 对 电子 邮件 加 密 , 防 止 非 授权 
阅读 信件 ,还 能 对 电子 邮件 附加 数字 签名 ,使 收 信人 能 明确 了 解 发 信人 的 真实 身份 ,也 可 
以 在 不 需要 通过 任何 保密 渠道 传递 密 钥 的 情况 下 ,使 人 们 安全 地 进行 保密 通信 。 

PGP 创造 性 地 把 RSA 不 对 称 加 密 算法 的 方便 性 和 传统 加 密 体 系 结合 起 来 ,在 数字 
签名 和 密 钥 认证 管理 机 制 方面 采用 了 无 颖 结合 的 巧妙 设计 ,同时 具有 良好 的 人 机 工程 设 
计 。 它 功能 强大 ,有 很 快 的 速度 ,而 且 是 完全 免费 的 。 另 外 ,PGP 还 可 以 用 来 加 密 各 种 类 
型 的 文件 ,这 些 优势 使 其 几乎 成 为 最 流行 的 公 钥 加 密 软 件 包 。 


第 3 章 数据 加 密 技术 人 -| 


PGP 实际 上 采用 的 是 IDEA 传统 加 密 算法 用 来 加 密 的 ,而 不 是 RSA 本 身 。 原 因 是 
RSA 算法 计算 量 极 大 ,在 速度 上 不 适合 加 密 大 量 数据 ,而 IDEA 的 加 解密 速度 比 RSA 要 
快 得 多 ,所 以 实际 上 PGP 是 以 一 个 随机 生成 的 密 钥 ,用 IDEA 算法 对 明文 加 密 , 然 后 再 用 
RSA 算法 对 该 密 钥 进行 加 密 的 。 收 件 人 同样 是 用 RSA 解密 这 个 随机 密 钥 ,再 用 IDEA 
解密 邮件 本 身 。 这 样 的 链 式 加 密 就 做 到 了 既 有 RSA 体系 的 保密 性 ,又 有 IDEA 算法 的 快 

PGP 不 仅 有 加 密 的 功能 ,还 可 以 用 于 数字 签名 。 用 PGP 进行 数字 签名 的 过 程 为 : 发 
送 方 用 自己 的 私 钥 将 128bit 的 特征 值 加 密 , 附 加 在 邮件 后 ,再 用 接收 方 的 公 钥 将 整个 邮 
件 加 密 。 在 这 里 特别 要 注意 次 序 , 如 果 先 加 密 再 签名 的 话 , 别 人 可 以 将 签名 去 掉 后 加 上 自 
己 的 签名 ,从 而 算 改 了 签名 。 密 文 收 到 以 后 ,接收 方 用 自己 的 私 钥 将 邮件 解密 ,得 到 发 送 
方 的 原文 和 签名 ,然后 用 PGP 从 原文 计算 出 一 个 128bit 的 特征 值 来 和 用 发 送 方 的 公 
解密 签名 所 得 到 的 数 进行 比较 ,如 果 符 合 就 说 明 这 份 邮件 确实 是 发 送 方 发 来 的 。 这 样 就 
使 两 个 安全 性 要 求 都 得 到 了 满足 。 

PGP 还 可 以 只 签名 而 不 加 密 , 这 适用 于 公开 发 表 声 明 时 ,声明 人 为 了 证 实 自己 的 身 
份 ,可 以 用 自己 的 私 钥 签名 。 这 样 就 可 以 让 收 件 人 能 确认 发 信人 的 身份 ,也 可 以 防止 发 信 
人 抵赖 自己 的 声明 。 这 一 点 在 商业 领域 有 很 大 的 应 用 前 途 , 它 可 以 防止 发 信人 抵赖 和 信 
件 被 中 途 自 改 。 
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案例 分 析 


PGP(pretty good privacy) 是 一 种 操作 简单 、 使 用 方便 、 普 及 程度 较 高 的 ,基于 不 对 称 
加 密 算法 RSA 公 钥 体系 的 邮件 加 密 软 件 。 


操作 环境 


(1) 一 台 连 上 Internet 的 计算 机 。 
(2) Windows XP/2003,Windows 7 操作 系统 ,PGP 软件 。 


操作 步 又 


第 1 步 下 载 并 安装 PGP 软件 。 

PGP 是 一 款 免费 英文 软件 ,一 般 专业 软件 下 载 网 站 都 提供 下 载 。 以 PGP 8.0.1 为 
例 , 经 解压 缩 后 ,双击 PGP 8.0.1 安装 文件 ,出 现 如 图 3. 18 所 示 的 画面 。 

按照 提示 ,反复 单 击 “ 下 一 步 ”按钮 , 即 可 安装 成 功 。 重 新 启动 计算 机 后 ,可 在 屏幕 上 
显示 PGP 活动 栏 ,如 图 3.19 所 示 。 

第 2 步 ” 建立 一 对 密 钥 的 步骤 。 

单 击 PGPkey 按钮 ,然后 依次 完成 如 下 步骤 。 


时 于 Co | 计算 机 网 络 久 全 技 市 沁 例 故 和 | 


mr 
一 而 | 旬 | 地 | 旬 | 字 | 信守 
图 3.18 PGP 的 安装 图 3.19 PGP 活动 栏 


(1) 根据 密 钥 生成 向 导 , 逐 屏 选择 密 钥 的 类 型 、 密 钥 长 度 、 密 钥 期 限 等 。 

(2) 设置 私 钥 传 递 词 ,以 保护 私 钥 。 

(3) 可 以 根据 需要 决定 是 否 把 密 钥 送 到 默认 的 服务 器 上 。 

(4) 保存 密 钥 。 

第 3 步 ”加 密 步骤 。 

为 了 有 一 个 实验 对 象 , 先 在 C:\ 下 建立 一 个 文件 PGPexecise. doc。 

(1) 单 击 Encrypt 按钮 。 在 打开 的 Select Files 对 话 框 中 选择 要 加 密 的 文件 , 选 定 后 
单 击 “打开 ”按钮 。 

(2) 在 PGP key Selection Dialog 对 话 框 中 选取 对 方 的 公有 密 钥 。 

(3) 输入 自己 的 私 钥 , 将 PGPexecise. doc 转换 为 . pgp 文件 。 

第 4 步 解密 步骤 。 

(1) 接收 者 输入 自己 的 密 钥 , 即 可 解密 文件 。 

(2) 在 PGPLog 对 话 框 中 查看 文件 的 签名 状态 。 


3.4 数字 签名 


341 数字 签名 的 定义 


生活 中 ,许多 文件 的 真实 性 和 可 靠 性 最 终 要 根据 是 否 有 亲笔 签名 来 确定 ,复印 件 是 无 
效 的 。 如 果 要 用 计算 机 报 文 代替 纸 墨 文件 的 传送 ,就 必须 找到 解决 亲笔 签名 的 方法 ,这 
样 ,数字 签名 (digital signature) 就 应 运 而 生 了 。 如 今 , 数 字 签 名 已 经 在 诸如 电子 邮件 、. 电 
子 转账 ,办公室 自动 化 等 系统 大 量 应 用 了 。 

数字 签名 是 指 信息 发 送 者 使 用 公开 密 钥 算法 的 主要 技术 ,产生 别人 无 法 伪造 的 一 段 
数字 串 。 发 送 者 用 自己 的 私有 密 钥 加 密 数据 后 , 传 给 接收 者 。 接 收 者 用 发 送 者 的 公 钥 解 
开 数 据 后 ,就 可 确定 数据 来 自 于 谁 。 同 时 这 也 是 对 发 送 者 发 送 的 信息 真实 性 的 一 个 证 明 ， 
发 送 者 对 所 发 送 的 信息 是 不 能 抵赖 的 。 

数字 签名 用 来 保证 信息 传输 过 程 中 信息 的 完整 和 提供 信息 发 送 者 的 身份 认证 。 例 
如 ,在 电子 商务 中 要 求 安 全 ,方便 地 实现 在 线 支付 ,而 数据 传输 的 安全 性 、 完 整 性 ,身份 验 
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证 机 制 及 交易 的 不 可 抵赖 性 等 ,大 多 是 通过 安全 性 认证 手段 加 以 解决 的 。 数 字 签 名 可 以 
进一步 方便 电子 商务 的 开展 。 例 如 ,商业 用 户 无 需 在 纸 上 签名 或 为 信函 往来 而 等 待 , 足 不 
出 户 就 能 够 通过 网 络 获得 贷款 、 购 买 保险 或 者 与 房屋 建筑 商 签 订 契 约 等 。 企 业 之 间 也 能 
通过 网 上 协商 达成 有 法 律 效力 的 协议 。 

一 个 数字 签名 算法 主要 由 两 个 算法 组 成 , 即 签名 算法 和 验证 算法 。 签 名 者 能 使 用 一 
个 秘密 的 签名 算法 签 一 个 消息 ,所 得 的 签名 能 通过 一 个 公开 的 验证 算法 来 验证 。 给 定 一 
个 签名 后 ,验证 算法 根据 签名 是 否 真实 来 做 出 一 个 “ 真 ”或 “ 假 " 的 问答 。 其 过 程 可 描述 为 ; 
甲 首先 使 用 他 的 秘密 密 钥 对 消息 进行 签名 得 到 加 密 文 件 , 然 后 将 文件 发 给 乙 , 最 后 , 乙 用 
甲 的 公 钥 验证 甲 的 签名 的 合法 性 。 这 样 的 签名 是 符合 以 下 可 靠 性 原则 的 。 

(1) 签名 是 可 以 被 确认 的 。 

(2) 签名 是 无 法 被 伪造 的 。 

(3) 签名 是 无 法 重复 命名 使 用 的 。 

(4) 文件 被 签名 以 后 是 无 法 被 自 改 的 。 

(5) 签名 具有 无 可 否认 性 。 

目前 已 有 大 量 的 数字 签名 算法 ,如 RSA 数字 签名 算法 ,EIGamal 签名 算法 ,美国 的 数 
字符 名 标准 /算法 (DSS/DSA) ,椭圆 曲线 数字 签名 算法 和 有 限 自动 机 数字 签名 算法 等 。 

数字 签名 的 保密 性 很 大 程度 上 依赖 于 公开 密 钥 。 数 字 签 名 的 加 密 /解密 过 程 和 秘密 
密 钥 的 加 密 /解密 过 程 虽 然 都 使 用 公开 密 钥 体系 ,但 实现 的 过 程 正好 相反 ,使 用 的 密 钥 对 
也 不 同 。 数 字 签 名 使 用 的 是 发 送 方 的 密 钥 时 ,发 送 方 用 自己 的 私有 密 钥 进行 加 密 ,接收 方 
用 发 送 方 的 公开 密 钥 进行 解密 。 这 是 一 个 一 对 多 的 关系 ,任何 拥有 发 送 方 公开 窃 钥 的 人 
都 可 以 验证 数字 签名 的 正确 性 。 而 秘密 密 钥 的 加 密 / 解 密 则 使 用 的 是 接收 方 的 密 钥 对 ,这 
是 多 对 一 的 关系 ,任何 知道 接收 方 公开 密 钥 的 人 都 可 以 向 接收 方 发 送 加 密 信息 ,只 有 唯一 
拥有 接收 方 私有 密 钥 的 人 才能 对 信息 解密 。 这 是 一 个 复杂 但 又 很 有 趣 的 过 程 。 在 实用 过 
程 中 ,通常 一 个 用 户 拥 有 两 个 密 钥 对 ,一 个 密 钥 对 用 来 对 数字 签名 进行 加 密 /解密 ,一 个 密 
钥 对 用 来 对 秘密 密 钥 进行 加 密 / 解 密 。 这 样 的 方式 提供 了 更 高 的 安全 性 。 

由 于 加 密 密 钥 是 公开 的 ,所 以 密 钥 的 分 配 和 管理 就 很 简单 ,而 且 能 够 很 容易 地 实现 数 
字 签 名 。 因 此 ,非常 适合 于 电子 商务 应 用 的 需要 。 在 实际 应 用 中 ,公开 密 钥 加 密 系统 并 没 
有 完全 取代 秘密 密 钥 加 密 系统 ,这 是 因为 公开 密 钥 加 密 系统 的 计算 非常 复杂 , 它 的 速度 远 
赶不上 秘密 钥匙 加 密 系 统 。 因 此 ,在 实际 应 用 中 可 利用 二 者 的 各 自 优 点 ,采用 秘密 钥匙 加 
密 系 统 加 密 文件 ,采用 公开 密 钥 加 密 系统 加 密 * 加 密 文件 ”的 密 钥 ,这 就 是 混合 加 密 系 统 ， 
它 较 好 地 解决 了 运算 速度 问题 和 密 钥 分 配 管理 问题 。 
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数字 签名 可 以 用 对 称 算法 实现 ,也 可 以 用 非 对 称 算法 实现 .还 可 以 用 报 文摘 要 算法 
实现 。 


1. 使 用 对 称 密 钥 算法 进行 数字 签名 
对 称 密 钥 算 法 所 用 的 加 密 密 钥 和 解密 通常 是 相同 的 ,即使 不 同 也 可 以 很 容易 地 由 其 
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中 的 一 个 推导 出 男 一 个 。 在 此 算法 中 ,加 密 /解密 双方 所 用 的 密 钥 都 要 保守 秘密 。 由 于 其 
计算 速度 快 ,而 广泛 应 用 于 大 量 数据 的 加 密 过 程 中 。 使 用 对 称 密 钥 密 码 算 法 进行 数字 签 
名 的 加 密 标准 有 DES、RC2、RC4 等 。 

其 签名 和 验证 过 程 为 : 利用 一 组 长 度 是 报 文 的 bit 数 n 两 信 的 密 钥 A 来 产生 对 签名 
的 验证 信息 , 即 随机 选择 2 个 数 B, 由 签名 密 钥 对 这 2n 个 数 B 进行 一 次 加 密 交换 ,得 到 
另 一 组 22 个 数 C。 发 送 方 从 报 文 分 组 的 第 一 位 开始 依次 检查 , 若 为 0 时 , 取 密 钥 A 的 第 
1 位 , 若 为 1 则 取 密 钥 A 的 第 2 位 …… 直 至 报 文 全 部 检查 完毕 。 所 选取 的 n 个 密 钥 位 形 
成 了 最 后 的 签名 。 接 收 方 对 签名 进行 验证 时 ,也 是 首先 从 第 1 位 开始 依次 检查 报 文 分 组 ， 
如 果 它 的 第 z 位 为 0 时 , 它 就 认为 签名 中 的 第 zx 组 信息 是 密 钥 A 的 第 z 位 , 若 为 1 则 为 
密 钥 A 的 第 z 十 1 位 ,直至 报 文 全 部 验证 完毕 ,就 得 到 了 个 密 钥 。 由 于 接收 方 具有 发 送 
方 的 验证 信息 C, 所 以 可 以 利用 得 到 的 个 密 钥 检 验 验 证 信息 ,从 而 确认 报 文 是 否 是 由 发 
送 方 所 发 送 。 

由 于 这 种 方法 是 逐 位 进行 签名 的 ,所 以 只 要 有 一 位 被 改动 过 ,接收 方 就 得 不 到 正确 的 
数字 签名 ,因此 其 安全 性 较 好 。 其 缺点 是 : 签名 太 长 ,签名 密 钥 及 相应 的 验证 信息 不 能 重 
复 使 用 ,否则 极 不 安全 。 


2. 使 用 非 对 称 密 钥 密码 算法 进行 数字 签名 


非 对 称 密 钥 密码 算法 ( 即 公 钥 密 码 算法 ) 使 用 两 个 密 钥 : 公开 密 钥 和 私有 密 钥 ,分 别 
用 于 对 数据 的 加 密 和 解密 , 即 如果 用 公开 密 钥 对 数据 进行 加 密 ,只 有 用 对 应 的 私有 密 钥 才 
能 进行 解密 。 如 果 用 私有 密 钥 对 数据 进行 加 密 , 则 只 有 用 对 应 的 公开 密 钥 才 能 解密 。 使 
用 非 对 称 密 钥 密码 算法 进行 数字 签名 的 加 密 标 准 有 RSA、DSA Diffie-Hellman 等 。 

其 签名 和 验证 过 程 为 : 发 送 方 首先 用 公开 的 单 向 函数 对 报 文 进行 一 次 变换 ,得 到 数 
字 签 名 ,然后 利用 私有 密 钥 对 数字 签名 进行 加 密 后 , 附 在 报 文 之 后 一 同 发 出 。 接 收 方 用 发 
送 方 的 公开 密 钥 对 数字 签名 进行 解密 交换 ,得 到 一 个 数字 签名 的 明文 。 发 送 方 的 公 钥 可 
以 由 一 个 可 信赖 的 技术 管理 机 构 , 即 认证 中 心 (CA) 发 布 。 接 收 方 将 得 到 的 明文 通过 单 向 
函数 进行 计算 ,同样 得 到 一 个 数字 签名 ,再 将 两 个 数字 签名 进行 对 比 。 如 果 相 同 , 则 证 明 
签名 有 效 ,否则 无 效 。 

这 种 方法 使 任何 拥有 发 送 方 公开 密 钥 的 人 都 可 以 验证 数字 签名 的 正确 性 。 由 于 发 送 
方 私有 密 钥 的 保密 性 ,使 接收 方 既 可 以 根据 结果 来 拒 收 该 报 文 ,也 能 使 其 无 法 伪造 报 文 签 
名 及 对 报 文 内 容 进行 修改 ,原因 是 数字 签名 是 对 整个 报 文 进行 的 ,是 一 组 代表 报 文 特征 的 
定 长 代码 ,同一 个 人 对 不 同 的 报 文 将 产生 不 同 的 数字 签名 。 这 就 解决 了 银行 通过 网 络 传 
送 一 张 支票 ,而 接收 方 可 能 对 支票 数额 进行 改动 的 问题 ,也 避免 了 发 送 方 逃避 责任 的 可 
能 性 。 


3. 报 文摘 要 算法 


报 文摘 要 是 最 主要 的 数字 签名 方法 ,也 称 为 数字 摘要 法 或 数字 指纹 法 。 该 数字 签名 
方法 是 将 数字 签名 与 要 发 送 的 信息 紧密 联系 在 一 起 , 它 更 适合 电子 商务 活动 。 将 一 个 报 
文 内 容 与 签名 结合 在 一 起 , 比 内 容 和 签名 分 开 传递 有 着 更 强 的 可 信和 度 和 安全 性 。 使 用 报 
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文摘 要 算法 进行 数字 签名 的 通用 加 密 标准 有 SHA-1、MD5 等 。 下面 以 MD5 为 例 简 要 
说 明 。 

MD5 是 目前 应 用 最 广泛 的 报 文摘 要 算法 ,是 一 个 可 以 为 每 个 文件 生成 一 个 数字 签名 
的 工作 。MD5 属于 一 种 Hash( 哈 希 ) 函 数 ,其 定义 为 : 算法 以 一 个 任意 长 信息 作为 输入 ， 
产生 一 个 128bit 的 “指纹 ”或 “摘要 信息 ”。 

MD5 算法 对 需要 进行 摘要 处 理 的 报 文 信息 块 按 512bit 处 理 。 首 先 它 对 报 文 信息 进 
行 填充 ,使 其 长 度 等 于 512 的 倍数 。 填 充 的 方法 是 在 需要 进行 摘要 处 理 的 报 文 信息 块 后 
填充 64 字 节 长 的 信息 长 度 ,然后 再 用 首位 为 1, 后 面 全 为 0 的 信息 进行 填充 。 然 后 对 信 
息 报 文 进行 处 理 , 每 次 处 理 512bit, 每 次 进行 4 轮 (每 轮 16 步 , 共 64 步 ) 的 信息 变换 处 理 ， 
每 次 输出 结果 为 128bit, 然 后 把 前 一 次 的 输入 作为 下 一 次 信息 变换 的 输入 初 值 , 这 样 最 后 
输出 一 个 128bit 的 Hash 摘要 结果 。 目 前 MD5 被 认为 是 最 安全 的 Hash 算法 之 一 ,已 经 
在 很 多 应 用 中 被 当成 标准 来 使 用 。 

MD5 提供 了 一 种 单 向 的 Hash 函数 ,是 一 种 校 验 工具 。 它 将 一 个 任意 长 的 字 串 作为 
输入 ,产生 一 个 128bit 的 “ 报 文摘 要 ”, 附 在 信息 报 文 后 面 ,以 防 报 文 被 自 改 。MD5 被 认为 
对 两 个 不 同 报 文 产生 相同 的 报 文摘 要 是 不 可 计算 的 ,并 且 对 一 个 已 给 定 的 报 文摘 要 ,对 另 
一 个 报 文 产生 同样 的 报 文摘 要 也 是 不 可 计算 的 。 

在 计算 机 安全 中 ,MD5 算法 是 非常 有 效 的 一 种 对 付 特 洛 伊 木 马 程序 的 工具 。 通 过 
MD5 算法 计算 每 个 文件 的 数字 签名 可 以 检查 文件 是 否 被 更 换 或 是 否 与 原来 的 一 致 。 


4. 数字 签名 的 发 展 方向 


(1) 数字 签名 的 不 足 

在 实际 应 用 中 ,数字 签名 还 存在 一 些 不 足 之 处 。 

@ 数字 签名 吸 待 相关 法 律 条 文 的 支持 。 需 要 立法 机 构 对 数字 签名 技术 有 足够 的 重 
视 , 并 且 在 立法 上 加 快 脚步 ,迅速 制定 有 关 法 律 ,以 充分 实现 数字 签名 具有 的 特殊 鉴别 作 
用 ,有 力 地 推动 电子 商务 及 其 他 网 上 事务 的 发 展 。 

@ 如 果 发 送 方 的 信息 已 经 进行 了 数字 签名 ,那么 接收 方 就 一 定 要 有 数字 签名 软件 ， 
这 就 要 求 软件 具有 很 高 的 普及 性 。 

@ 假设 某 人 发 送信 息 后 ,被 取消 了 原 有 数字 签名 的 权限 ,以 往 发 送 的 数字 签名 在 鉴 
定时 只 能 在 取消 确认 列表 中 找到 原 有 确认 信息 ,这 样 就 需要 鉴定 中 心 结合 时 间 信 息 进行 
鉴定 。 

@ 数字 签名 中 的 基础 设施 ,如 鉴定 中 心 、 在 线 存 取 数 据 库 等 的 建设 费用 ,可 能 会 影响 
到 这 项 技术 的 全 面 推广 。 

(2) 数字 签名 的 发 展 方向 

首先 , 现 有 的 一 些 基于 优良 算法 的 数字 签名 还 会 有 很 大 的 发 展 ,如 基于 大 整数 因子 分 
解难 题 的 RSA 算法 和 基于 椭圆 曲线 上 离散 对 数 计算 难题 的 ECC 算法 等 。 

以 后 的 加 密 、 生 成 和 验证 数字 签名 的 工具 将 不 断 完善 ,会 建立 广泛 的 协作 机 制 来 支持 
数字 签名 ,这 将 是 Web 发 展 的 目标 。 确 保 数 据 保密 性 、 数 据 完整 性 和 不 可 否认 性 才能 保 
证 电子 商务 的 安全 交易 。 今 后 ,与 数字 签名 有 关 的 复杂 认证 能 力 将 像 现 在 应 用 环境 中 的 
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口令 保护 一 样 ,直接 做 到 操作 系统 环境 、 信 息 传递 系统 及 Internet 防火 墙 。 

数字 签名 作为 电子 商务 的 应 用 技术 ,将 越 来 越 受 到 人 们 的 重视 。 其 中 涉及 的 关键 技 
术 也 很 多 ,并 且 有 很 多 新 的 协议 ,如 网 上 交易 安全 协议 SSL、SET 协议 都 会 涉及 数字 签 
名 ,究竟 使 用 哪 种 算法 、 哪 种 Hash 函数 以 及 数字 签名 管理 ,在 通信 实体 与 可 能 有 的 第 三 
方 之 间 使 用 协议 等 问题 都 可 以 作为 新 的 课题 。 相 信 ,数字 签名 的 前 景 将 越 来 越 广阔 。 


3.5 密 钥 管理 


由 于 加 密 算 法 的 分 开 , 对 明文 的 保密 将 主要 依赖 于 密 钥 。 一 旦 密 钥 丢失 或 出 错 ,不 仅 
合法 用 户 不 能 提取 信息 ,还 可 能 会 导致 非法 用 户 窃取 信息 。 所 以 , 密 钥 的 安全 管理 在 信息 
系统 安全 中 是 极为 重要 的 。 它 不 仅 会 影响 系统 的 安全 性 ,还 会 涉及 系统 的 可 靠 性 ,有 效 性 
和 经 济 性 。 

密 钥 管 理 包括 密 钥 的 产生 、 存 储 、 装 入 、 分 配 、 保 护 ` 丢 失 、 销 毁 等 内 容 。 其 方法 的 选取 
是 基于 参与 者 对 使 用 该 方法 的 环境 所 做 的 评估 的 。 对 环境 的 考虑 包括 要 进行 防范 所 使 用 
的 技术 ,提供 的 密码 服务 的 体系 结构 与 定位 ,以 及 密码 服务 提供 者 的 物理 结构 与 定位 。 


1. 对 称 密 钥 的 管理 


对 称 加 密 是 基于 共同 保守 秘密 来 实现 的 。 采 用 对 称 加 密 技术 的 通信 双方 必须 要 保证 
采用 的 是 相同 的 密 钥 , 要 保证 彼此 密 钥 的 交换 是 安全 ,可靠 的 ,同时 还 要 设 定 防止 密 钥 泄 
密 和 更 改 密 钥 的 程序 。 这 样 对 称 密 钥 的 管理 就 会 变 成 一 件 烦琐 且 充 满 潜在 威胁 的 工作 ， 
解决 的 办 法 是 通过 公开 密 钥 加 密 技术 实现 对 称 密 钥 的 管理 。 这 样 将 使 相应 的 管理 变 得 简 
单 和 更 加 安全 ,同时 还 解决 了 纯 对 称 密 钥 模 式 中 存在 的 可 靠 性 问题 和 鉴别 问题 。 

通信 的 一 方 可 以 为 每 次 交换 的 信息 生成 唯一 的 一 把 对 称 密 钥 ,并 用 公开 密 钥 对 该 密 
钥 进行 加 密 ,然后 再 将 加 密 后 的 密 钥 和 用 该 密 钥 加 密 的 信息 一 起 发 送 给 相应 的 另 一 方 。 
由 于 对 每 次 信息 交换 都 对 应 生成 了 唯一 的 一 把 密 钥 ,因此 ,双方 就 不 再 需要 对 密 钥 进行 维 
护 和 担心 密 钥 的 泄露 或 过 期 。 这 种 方式 的 另 一 优点 是 ,即使 泄露 了 一 把 密 钥 也 只 将 影 
一 次 通信 过 程 ,而 不 会 影响 到 双方 之 间 所 有 的 通信 。 同 时 ,这 种 方式 也 提供 了 发 布 对 称 密 
钥 的 一 种 安全 途径 。 


2. 公开 密 钥 的 管理 


通信 双方 可 以 使 用 数字 证 书 ( 公 开 密 钥 证 书 ) 来 交换 公开 密 钥 。 国 际 电信 联盟 制定 的 
标准 X. 509 对 数字 证 书 进行 了 定义 。 该 标准 等 同 于 国际 标准 组 织 (ISO) 与 国际 电工 委员 
会 (IEC) 联 合 发 布 的 ISO/IEC 9594 一 8195 标准 。 数 字 证 书 通常 包含 唯一 标识 证 书 所 有 
者 的 名 称 、 唯 一 标识 证 书 发 布 者 的 名 称 .证 书 所 有 者 的 公开 密 钥 .证 书 发 布 者 的 数字 签名 、 
证 书 的 有 效 期 及 证 书 的 序列 号 等 。 证 书 发 布 者 一 般 称 为 证 书 管理 机 构 (CA), 它 是 通信 双 
方 都 信赖 的 机 构 。 数 字 证 书 能 够 起 到 标识 通信 双方 的 作用 ,是 目前 广泛 采用 的 密 钥 管理 
技术 之 一 。 
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3. 密 钥 管 理 的 相关 标准 规范 


目前 国际 有 关 的 标准 化 机 构 都 着 手 制定 了 关于 密 钥 管理 的 技术 标准 规范 。ISO 与 
IEC 下 属 的 信息 技术 委员 会 (JTC1) 已 起 草 了 关于 密 钥 管理 的 国际 标准 规范 。 该 规范 主 
要 由 三 部 分 组 成 ,第 一 部 分 是 密 钥 管理 框架 ,第 二 部 分 是 采用 对 称 技术 的 机 制 , 第 三 部 分 
是 采用 非 对 称 技术 的 机 制 。 该 规范 现 已 进入 到 国际 标准 草案 表决 阶段 ,并 将 很 快 成 为 正 
式 的 国际 标准 。 


本 章 小 结 


加 密 是 保护 数据 安全 的 一 种 最 常用 的 方法 。 数 据 加 密 技术 分 为 两 种 : 传统 加 密 方法 
和 现代 加 密 方法 。 传 统 加 密 方法 的 典型 代表 是 蔡 代 密 码 和 换 位 密码 技术 。 现 代 加 密 方法 
的 典型 代表 是 RSA 和 DES 加 密 方法 。 

数字 签名 是 加 密 技术 的 典型 应 用 ,用 来 保证 信息 传输 过 程 中 信息 的 完整 和 提供 信息 


发 送 者 的 身份 认证 。 
本 章 练 习 
一 、 填空 题 
1. DES 使 用 的 密 钥 长 度 是 位 。 
2, 有 一 类 加 密 类 型 通常 用 于 数据 完整 性 检验 和 身份 验证 ,例如 ,计算 机 系统 中 的 口 
令 就 是 利用 算法 加 密 的 。 
3. 认证 技术 主要 解决 网 络 通信 进程 中 通信 双方 认可 。 
4. 电子 商务 中 的 数字 签名 通常 利用 公开 密 钥 加 密 方法 来 实现 ,其 中 发 送 者 签名 使 用 
的 密 钥 为 发 送 者 的 
5. 数字 签名 是 用 于 确认 发 送 者 身份 和 消息 完整 性 的 一 个 加 密 的 . 
6. PGP 软件 不 仅 有 功能 ,还 有 功能 。 这 两 种 功能 可 能 同时 使 用 ， 
也 可 以 使 用 。 
- 、 选 择 是 
1. 如 果 使 用 恺 撤 密 码 ,在 密 钥 为 4 时 attack 的 密 文 为 本 
A. ATTACK B. DWWDFN C. EXXEGO D. FQQFAO 
2. 按 密 钥 的 使 用 个 数 ,密码 系统 可 以 分 为 
A. 置换 密码 系统 和 易 位 密码 系统 B. 分 组 密码 系统 和 序列 密码 系统 
C. 对 称 密码 系统 和 非 对 称 密码 系统 。 ” D. 密码 学 系统 和 密码 分 析 学 系统 
3. 计算 机 网 络 系统 中 广泛 使 用 的 DES 算法 属于 


A. 不 对 称 加 密 B. 对 称 加 密 C. 不 可 逆 加 密 D. 公开 密 钥 加 密 
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4. 在 公 钥 密码 体系 中 ,下 面 是 可 以 公开 的 。 
工 . 加 密 算法 开 . 公 角 焉 . 私 钥 
A. 仅 工 B. 仅 I C. 仅 工 和 D. 全 部 


5. 关于 数字 签名 ,下面 说 法 错误 的 是 
A. 数字 签名 技术 能 够 保证 信息 传输 过 程 中 的 安全 性 
B. 数字 签名 技术 能 够 保证 信息 传输 过 程 中 的 完整 性 
C. 数字 签名 技术 能 够 对 发 送 者 的 身份 进行 认证 
D. 数字 签名 技术 能 够 防止 交易 中 抵赖 的 发 生 


三 、 简 答题 


. 简 述 密码 技术 的 概念 。 

. 简要 描述 传统 的 加 密 方法 。 

. 简 述 DES 算法 16 个 子 密 钥 的 生成 过 程 。 

. 公开 密 钥 体制 RSA 算法 的 主要 特点 是 什么 ? 

. 试 说 明 数 字 签 名 实现 的 过 程 。 

. PGP 软件 的 功能 是 什么 ? 可 应 用 在 什么 情况 下 ? 


中 oo 


实 训 ”PGP 非 对 称 加 密 应 用 


实 训 目 的 


(1) 掌握 文件 的 机 密 性 保护 方法 。 
(2) 掌握 对 保护 文件 提供 完整 保护 方法 。 
(3) 掌握 对 称 与 非 对 称 加 密 综合 应 用 方法 。 


实 训 环境 


(1) PGP 安装 软件 ,Apocalypso 安装 软件 。 
(2) 局 域 网 。 


实 训 步 又 


第 1 步 PGP 软件 的 安装 。 

(1) 解压 缩 后 ,双击 或 运行 安装 程序 后 ,进入 安装 界面 ,显示 欢迎 信息 , 单 击 Next 按 
钮 ,出 现 许可 协议 说 明 , 阅 读 后 选 择 接受 ,进入 提示 安装 PGP 所 需要 的 系统 及 软件 配置 情 
况 的 界面 ,继续 单 击 Next 按钮 ,出 现 创 建 用户 类 型 的 界面 , 单 击 Next 按钮 。 

(2) 安装 程序 会 提示 用 户 ,是 否 已 经 有 了 密 钥 ,如 果 安 装 过 PGP 计算 机 中 可 能 存在 
密 钥 ,这 就 可 以 再 利用 了 。 如 果 没 有 安装 过 PGP 则 选择 No Tm a new user, 然 后 单 击 
Next 按钮 出 现 程序 的 安装 目录 ,建议 将 PGP 安装 程序 默认 的 目录 ,也 就 是 系统 盘 内 , 程 
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序 很 小 ,再 次 单 击 Next 按钮 ,出现 选择 PGP 组 件 的 窗口 ,安装 程序 会 检测 系统 内 所 安装 
的 程序 ,如 果 存 在 PGP 可 以 支持 的 程序 , 它 将 自动 选中 该 支持 组 件 ,如 图 3. 20 所 示 。 
PGP 可 以 和 Outlook 结合 完成 邮件 的 加 密 。 


fa) PGPmail for Microsoft Outlook Express 


-DE PGPmai for Qualcomm Eudora 
-DI@ PoPmai for GroupWise 


图 3.20 PGP 组 件 窗口 


(3) 最 后 安装 过 程 按 提 示 单 击 Next 按钮 ,最 后 提示 重启 系统 即 可 完成 安装 。 重 启 系 
统 之 后 ,系统 会 启动 PGP 许可 验证 ,PGP 已 经 在 “开始 ”>“ 所 有 程序 ”>“ 启 动 ” 选 项 中 加 
入 启动 项 。 输 入 购买 时 的 产品 相关 许可 码 等 信息 ,也 可 以 选择 试用 模式 , 即 选 择 Later。 

第 2 步 ” 密 钥 对 ( 公 钥 和 私 钥 ) 的 生成 。 

(1) 安装 完成 后 会 出 现 密 钥 生成 向 导 , 单 击 “* 下 一 步 ” 按 钮 后 要 求 输入 用 户 全 名 和 邮 
件 地 址 , 接 下 来 会 提示 要 求 输入 用 于 保护 私 钥 的 密码 ,此 密码 不 能 少 于 8 位 ,并 要 求 重复 
确认 一 遍 。 在 Passphrase 文本 框 输入 需要 的 密码 ,Confirmation( 确 认 ) 文 本 框 再 输入 一 
次 密码 ,密码 的 长 度 必 须 大 于 8 位 ,建议 为 12 位 以 上 。 

(2) 接 下 来 进入 Key Gemeration Progress( 密 钥 生 成 阶段 ) 等 待 主 密 钥 (Key) 和 次 密 
钥 (Subkey) 生成 完毕 (Done)。 单 击 Next 按钮 .进入 Completing the PGP Key 
Generation Wizard( 完 成 该 PGP 密 钥 生成 向 导 ) 界 面 , 单 击 Finish 按钮 .完成 密 钥 创建 和 
设置 ,如 图 3. 21 所 示 。 

第 3 步 ” 密 钥 的 查看 。 

通过 开始 程序 中 的 PGP 中 启动 PGPKeys, 可 以 看 到 密 钥 的 一 些 基 本 信息 ,如 Trust 
Model( 信 任 度 ) ,Size( 大 小 ) ID( 密 钥 ID)、Created( 创 建 时 间 )、Expires( 到 期 时 间 ) 等 ,如 
图 3. 22 所 示 。 

第 4 步 重新 创建 密 钥 对 。 

通过 PGP 程序 窗口 中 的 Keys 菜单 ,可 以 重新 生成 另外 一 对 密 钥 ,如 图 3. 23 所 示 。 

第 5 步 ”导出 并 发 布 自己 的 公 钥 。 


DSS exportable 


白 回 waming GraminaR163. com> Vser DD 
A waning Graminaal63 con》 


图 3.22 密 钥 基本 信息 


图 3.23 生成 另外 一 对 密 钥 
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通过 PGP 程序 窗口 中 的 Keys 菜单 ,选择 Export 命令 可 以 导出 当前 选中 密 钥 中 的 公 
钥 ( 如 果 在 导出 到 文件 窗口 下 面 选中 Include Private Key 复 选 框 则 将 导出 公 钥 和 私 钥 ,一 
般 情况 下 不 需要 导出 私 钥 ) ,如 图 3. 24 所 示 。 


日 晶 。《< 
EE 
Lh 
日 给 rming 人 mineal63 con> 


EY vaning Gramingal63 com> 
aning uningd163. com> 


图 3.24 导出 公 钥 和 私 钥 


第 6 步 导入 并 设置 其 他 人 的 公 钥 。 

可 以 从 网 上 如 FTP 下 获取 对 方 的 公 钥 ,导入 公 钥 : 直接 单 击 对 方 发 来 的 扩展 名 为 
. Asc 的 公 钥 将 会 出 现 选 择 公 钥 的 窗口 ,在 这 里 可 看 到 该 公 钥 的 基本 属性 ,如 有 效 性 、 创 建 
时 间 、 信 任 度 等 ,便于 了 解 是 否 应 该 导入 此 公 钥 。 选 好 后 , 单 击 Import 按钮 , 即 可 导入 
PGP。 打 开 PGPKeys, 就 能 在 密 钥 列表 里 看 到 刚才 导入 的 密 钥 。 

第 7 步 ”利用 PGP 实施 加 密 、 验 证 与 签名 。 


知识 目标 
。 了 解 操 作 系统 的 安全 性 。 
。 掌握 Windows Server 2003 的 用 户 管理 及 管理 策略 。 
。 掌握 Windows Server 2003 的 文件 访问 权限 及 管理 策略 。 
。 掌握 Windows Server 2003 的 资源 审计 方法 。 
技能 目标 
。 能 够 对 Windows Server 2003 中 的 用 户 管理 及 管理 策略 进行 设置 。 
。 能 够 对 Windows Server 2003 的 文件 访问 权限 及 管理 策略 进行 设置 。 
。 能 够 对 Windows Server 2003 中 的 资源 进行 安全 审计 。 


Windows Server 2003 已 经 成 为 目前 Windows 主流 服务 平台 。 本 章 主 要 以 
Windows Server 2003 为 主 ,介绍 与 Windows Server 2003 系统 有 关 的 安全 机 制 以 及 涉及 
Windows Server 2003 系统 安全 的 一 些 技 巧 。 


4.1 操作 系统 安全 简介 


Windows 一 直 被 认为 是 一 个 不 安全 的 操作 系统 , 它 的 安全 性 要 远 低 于 Linux、UNIX 
等 操作 系统 。 实 际 上 ,安全 性 与 易 用 性 通常 是 相对 的 ,为 了 增强 安全 性 ,往往 要 牺牲 一 些 
易 用 性 ,而 为 了 增强 易 用 性 ,也 往往 要 牺牲 一 些 安全 性 。Windows 系统 本 身 提供 了 不 亚 
于 其 他 操作 系统 的 各 项 安全 措施 。 只 是 为 使 用 上 和 管理 上 的 方便 ,这 些 安全 措施 在 很 多 
默认 的 情况 下 都 没有 开启 ,而 UNIX 的 操作 系统 在 默认 安全 性 方面 则 比较 出 色 。 

决定 系统 安全 的 不 是 操作 系统 的 类 型 ,而 是 人 ,也 就 是 说 ,是 系统 管理 员 的 能 力 决定 
了 一 个 系统 的 安全 性 而 不 是 系统 的 类 型 。 一 个 优秀 的 Windows 系统 管理 员 配 置 出 来 的 
Windows 服务 器 要 比 一 个 水 平 差 的 UNIX 管理 员 配 置 的 UNIX 系统 要 安全 得 多 。 只 要 
有 合理 的 配置 , Windows 同样 能 提供 非常 高 的 安全 性 ,能 在 各 种 各 样 要 求 高 的 应 用 中 
工作 。 
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411 网 络 操作 系统 安全 
1. 系统 安全 


不 允许 未 经 核准 的 用 户 进 入 系统 ,从 而 可 以 防止 他 人 非法 使 用 系统 的 资源 是 系统 安 
全 管理 的 任务 。 主 要 采用 的 手段 有 注册 和 登录 。 注 册 是 指 系统 设置 一 张 注 册 表 ,记录 了 
注册 的 用 户 名 和 口令 等 信息 ,使 系统 管理 员 能 掌握 进入 系统 的 用 户 情况 ,并 保证 用 户 名 在 
系统 中 的 唯一 性 。 登 录 则 是 指 用 户 每 次 使 用 系统 时 都 要 登录 ,通过 核对 用 户 和 口令 ,核查 
该 用 户 的 合法 性 。 同 时 ,也 可 根据 用 户 占用 资源 情况 进行 收费 。 


2. 用 户 安 全 


在 操作 系统 中 ,用 户 对 文件 访问 权限 的 大 小 ,是 根据 用 户 分 类 、 需 求 和 文件 属性 来 分 
配 的 。 用 户 安全 管理 是 为 用 户 分 配 文件 “访问 权限 ”而 设计 的 。 可 以 对 文件 定义 建立 、 删 
除 . 打 开 、 读 、 写 ,查询 和 修改 的 访问 权限 。 


3. 资源 安全 


资源 安全 是 通过 系统 管理 员 或 授权 的 资源 用 户 对 资源 属性 的 设置 ,来 控制 用 户 对 文 
件 . 打 印 机 等 的 访问 。 可 以 设置 执行 、 隐 含 、 修 改 . 索 引 、 只 读 、. 写 人 \ 共 享 等 属性 。 


4. 通信 网 络 安全 


通信 网络 中 信息 有 存储 、 处 理 和 传输 3 个 主要 操作 ,其 中 信息 在 传输 过 程 中 受到 的 安 
全 威胁 最 大 。 因 此 ,网 络 操作 系统 必须 采用 多 种 安全 措施 和 手段 ,其 主要 内 容 如 下 。 

(1) 用 户 身份 验证 和 对 等 实体 鉴别 。 远 程 录入 用 户 和 口令 应 当 加 密 , 密 钥 必 须 每 次 
变更 ,以 防 被 人 截获 后 冒名 顶替 。 对 等 实体 鉴别 是 指 在 网 络 环 境 下 ,一 个 用 户 向 另 一 个 用 
户 发 送 数 据 , 发 送 方 必须 鉴别 接收 方 是 否 确定 是 他 要 发 送信 息 的 人 ,接收 方 也 要 判别 所 发 
来 的 信息 是 否 确定 是 由 发 送 者 本 人 发 来 的 。 

(2) 访问 控制 。 指 对 哪些 网 络 用 户 可 访问 哪些 本 地 资源 ,以 及 哪些 本 地 用 户 可 访问 
哪些 网 络 资源 进行 控制 。 

(3) 数据 完整 性 。 防 止 信息 在 传送 和 存储 过 程 中 的 自 改 .替换 、 删 除 等 。 

(4) 防 抵赖 。 防 止 收发 信息 双方 抵赖 纠纷 。 发 送 方 不 能 否认 曾 向 接收 方 发 送 过 信 
息 ,并 且 不 否认 接收 方 收 到 的 信息 是 未 被 自 改 过 的 原样 信息 。 发 送 方 也 会 要 求 收 方 不 能 
在 收 到 信息 后 抵赖 或 否认 。 

(5) 审计 。 主 要 审计 用 户 对 本 地 主机 的 使 用 和 网 络 运行 情况 。 


412 网 络 操作 系统 安全 机 制 与 安全 策略 
网 络 操作 系统 的 安全 机 制 主要 有 身份 鉴别 机 制 \ 访 问 控制 .授权 机 制 和 加 密 机 制 。 
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1. 网 络 操作 系统 安全 机 制 


(1) 身份 鉴别 机 制 

身份 鉴别 机 制 是 大 多 数 保护 机 制 的 基础 ,分 为 内 部 和 外 部 身份 鉴别 两 种 。 

Q@ 外 部 身份 鉴别 是 为 了 验证 用 户 登录 系统 的 合法 性 。 一 个 合法 的 用 户 在 其 所 能 访 
问 的 系统 中 有 一 个 用 户 账户 ,用 户 账户 包括 用 户 的 用 户 名 .口令 及 个 人 资料 等 一 些 基本 信 
息 。 在 这 些 信 息 中 ,账户 可 能 是 广为人知 的 ,例如 , 它 可 能 被 用 作 一 个 电子 邮件 地 址 ,而 口 
令 则 对 使 用 此 账户 的 人 员 保 密 , 此 口令 作为 一 个 实体 ,只 能 被 此 账户 的 拥有 者 或 系统 管理 
员 改 变 。 当 用 户 登 录 系 统 时 ,身份 鉴别 机 制 将 验证 用 户 身份 ,以 确定 该 用 户 是 否 为 合法 的 
注册 用 户 ,并 且 确 保 不 存在 通过 某 些 隐蔽 的 方式 绕 过 系统 验证 机 制 进 入 系统 。 例 如 , 某 用 
户 用 一 个 用 户 名 登录 了 某 系统 ,此 系统 的 外 部 身份 鉴别 机 制 将 进行 检查 ,以 证 实 此 登录 用 
户 确实 是 系统 中 拥有 此 用 户 名 的 用 户 。 

外 部 身份 鉴别 的 关键 是 口令 的 保密 。 口 令 一 般 是 由 字母 ,数字 ,特定 符号 等 组 成 的 字 
符 串 。 口令 的 验证 实现 简单 ,理论 上 也 比较 可 靠 ,但 由 于 口令 的 验证 在 实现 时 需要 人 为 配 
合 , 使 安全 性 受到 一 定 的 影响 。 尽 管 对 口令 的 安全 还 有 争论 ,但 口令 仍然 是 近年 来 计算 机 
及 其 网 络 访问 控制 的 常 驻 机 构 用 于 身份 鉴别 的 工具 。 

@ 内 部 身份 鉴别 机 制 用 于 确保 进程 身份 的 合法 性 。 若 没有 内 部 验证 , 某 用 户 可 以 创 
建 一 个 看 上 去 属于 另 一 用 户 的 进程 。 从 而 使 得 即使 是 最 有 效 的 外 部 验证 机 制 , 在 也 会 因 
为 把 这 个 用 户 的 伪造 进程 看 成 另 一 个 合法 用 户 的 进程 而 被 轻易 地 绕 过 。 

(2) 访问 控制 和 授权 机 制 

访问 控制 是 操作 系统 安全 机 制 最 核心 的 内 容 。 访 问 控制 是 确定 谁 能 访问 系统 (关于 
鉴别 用 户 和 进程 ) .能 访问 系统 何 种 资源 (关于 访问 控制 ) 及 在 何 种 程度 上 使 用 这 些 资 源 
(关于 授权 )。 访 问 控 制 包括 对 系统 各 种 资源 的 存 取 控制 , 既 包 括 对 设备 (如 内 存 、 虚 拟 存 
储 器 或 磁盘 等 外 存储 器 ) 的 存 取 控制 ,也 包括 对 文件 数据 的 存 取 控制 。 

Q@ 授权 。 规 定 系 统 可 以 给 哪些 主体 (subject) 访 问 何 种 客体 (object) 的 特权 。 授 权 机 
制 确认 用 户 或 进程 只 有 在 策略 许可 时 ,才能 够 使 用 计算 机 的 实体 (如 资源 )。 授 权 机 制 依 
赖 于 安全 的 验证 机 制 而 存在 。 

主体 是 一 种 能 访问 对 象 的 活动 实体 ,如 和 人、 进程 或 设备 , 它 可 以 使 信息 在 客体 间 流 动 。 
所 以 ,对 文件 进行 操作 的 用 户 是 一 种 主体 ,用 户 调度 并 运行 的 某 个 作业 也 是 一 种 主体 。 客 
体 是 含有 或 接收 信息 的 实体 ,不 受 所 依存 的 系统 的 限制 。 它 可 以 是 记录 ,数据 块 存储 页 、 
存储 段 文件 .目录 、 目 录 树 、 信 息 树 、 信 息 和 程序 等 ,也 可 以 是 位 、 字 节 、 域 处理 器 .通信 线 
路 或 网 络 节点 等 。 

对 用 户 的 授权 一 般 可 分 成 4 种 等 级 : 超级 用 户 、 系 统 用 户 、 普 通用 户 和 低级 用 户 。 在 
这 4 种 特权 等 级 中 ,超级 用 户 的 权力 最 大 ,低级 用 户 的 权力 最 小 。 

@ 确定 访问 权限 ,并 授权 和 实施 。 即 规定 以 读 或 写 ,或 执行 ,或 增加 ,或 删除 的 方式 
进行 访问 ,并 规定 可 以 在 何 种 程序 使 用 系统 的 这 些 资 源 和 实施 访问 。 

(3) 加 密 机 制 

加 密 是 将 信息 编码 成 像 密 文 一 样 难 解 形式 的 技术 ,在 现代 计算 机 系统 中 ,加 密 是 整个 
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信息 安全 的 理论 和 技术 基础 。 在 通过 网 络 互联 的 计算 机 系统 中 , 想 要 提供 一 种 信息 不 可 
见 的 机 制 是 困难 的 。 因 此 ,信息 被 加 密 成 若 不 解密 则 其 信息 内 容 就 是 不 可 见 的 形式 。 加 
密 的 关键 在 于 能 高 效 地 建立 从 根本 上 不 可 能 被 未 授权 用 户 解密 的 加 密 算法 。 


2. 网 络 操作 系统 安全 策略 


安全 策略 是 根据 组 织 现 实 要 求 所 制定 的 一 组 经 授权 使 用 计算 机 及 其 信息 资源 的 规 
则 , 它 的 目标 是 将 信息 安全 事故 的 影响 降 为 最 小 ,保证 业务 的 持续 性 ,保护 组 织 的 资源 , 防 
范 所 有 的 威胁 。 

在 操作 系统 中 ,各 种 安全 管理 方法 的 执行 和 安全 机 制 的 实施 都 来 源 于 安全 策略 的 制 
定 。 口 令 策略 ,访问 控制 与 授权 策略 、 审 计策 略 等 都 是 安全 管理 的 依据 所 在 。 

(1) 口令 策略 

为 保护 口令 , 需 研 究 口令 的 选择 规律 ,剔除 易 被 猜 中 的 口令 ,可 采取 口令 控制 .口令 检 
查 口令 安全 存储 的 技术 。 

@ 口令 的 控制 。 可 通过 口令 的 使 用 \ 存 储 和 改变 ,实施 一 定 的 控制 来 进行 保护 。 

口令 不 允许 显示 ,大 多 数 系统 在 用 户 注册 前 后 显示 出 一 条 信息 ,这 些 信息 可 帮助 系统 
识别 ,并 可 为 攻击 者 访问 系统 而 提供 输入 信息 的 线索 。 系 统 应 向 系统 管理 员 提 供 取消 这 
些 显示 的 功能 。 

。 限制 措施 。 一 些 系 统 限 制 注册 失败 的 次 数 ,一 般 为 3 次 或 6 次 。 当 达到 极限 时 ， 

系统 将 该 用 户 锁 在 外 面 ,拒绝 其 注册 。 要 记录 注册 失败 的 用 户 , 以 便 跟踪 。 

。 口令 的 更 换 。 每 个 口令 有 一 定 的 使 用 期 限 ,过 此 期 限 后 ,口令 必须 更 换 。 

双 口 令 系统 。 某 些 系统 要 求 采用 两 个 口令 来 存 取 敏感 信息 。 先 在 注册 时 使 用 一 
个 口令 ,用 户 在 访问 某 些 敏感 信息 时 ,系统 要 用 户 输入 另 一 个 口令 ,验证 后 才能 决 
定 是 否 允 许 访问 。 

最 短 口 令 长 度 ,为 防止 口令 被 猜 中 ,许多 系统 要 求 口令 必须 有 一 个 最 短 长 度 限 制 。 
通常 要 求 口令 至 少 为 6 一 8 个 字符 长 。 

用 户 被 锁 。 系 统管 理 员 可 将 规定 时 间 之 外 使 用 ID 和 超过 规定 时 间 未 改变 口令 的 
用 户 锁 闭 在 外 。 

根 口令 保护 。 根 口令 是 为 鉴别 系统 管理 员 所 唯一 配置 的 。 因 为 系统 管理 员 比 其 
他 用 户 权限 大 ,因此 成 为 间 和 人 者 攻击 的 主要 目标 ,应 注意 保护 。 

加 口令 的 检查 。 口 令 的 检查 有 两 种 方法 。 第 一 种 方法 是 按 一 定 的 时 间 间 隔 运行 一 
个 程序 来 检查 。 它 可 以 比较 现存 的 口令 ,以 避免 易 猜 中 的 口令 。 还 可 以 取消 已 发 现 的 易 
猜 中 口令 ,并 通知 用 户 在 下 次 注册 时 改变 它 。 第 二 种 方法 是 当 用 户 第 一 次 输入 口令 时 , 系 
统 通过 执行 一 个 算法 来 检查 口令 。 

加 口令 的 安全 存储 。 口 令 通常 以 表格 或 清单 的 形式 存储 。 这 些 存储 信息 包含 了 每 
一 授权 用 户 的 口令 。 通 常 ,系统 收 到 一 个 用 户 发 出 的 口令 后 ,首先 加 密 ,接着 系统 再 从 口 
令 数据 库 中 取出 该 用 户 的 加 密 口令 ,进行 比较 ,如 符合 , 则 允许 该 用 户 在 系统 上 注册 ,否则 
拒绝 该 用 户 注册 。 


| < 【计算 机 网 络 安全 技 机 沈 灼 和 | 


(2) 访问 控制 与 授权 策略 

访问 控制 策略 是 根据 系统 安全 保密 要 求 及 实际 可 能 而 提出 的 一 系列 安全 控制 方法 和 
策略 。 

(3) 系统 监控 和 审计 策略 

未 被 发 现 的 未 经 授权 活动 会 导致 重复 的 滥用 ,因此 ,应 采取 适当 的 措施 对 信息 系统 访 
问 与 使 用 活动 进行 监控 ,记录 可 监控 事件 ,万 一 有 安全 事件 发 生 , 能 提供 客观 证 据 。 对 监 
控 的 结果 要 进行 检查 。 监 控 和 审计 策略 包括 以 下 内 容 。 

Q 建立 并 保存 事件 记录 。 建 立 审 计 日 志 以 记录 异常 情况 和 其 他 有 关 的 安全 事件 ; 规 
定 审计 日 志 的 保留 时 间 ,以 便 支 持 将 来 调查 和 访问 控制 监督 。 

@ 对 系统 使 用 情况 进行 监控 。 为 确定 用 户 只 进行 被 明确 授权 的 活动 ,要 建立 信息 处 
理 设 施 使 用 的 监控 程序 ,对 信息 处 理 设施 的 使 用 情况 进行 监控 ,发 现 问题 及 时 采取 安全 
措施 。 
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虽然 现代 操作 系统 的 安全 机 制 比较 完善 ,但 是 ,由 于 系统 设计 的 缺陷 .系统 配置 的 不 
合理 性 ,安全 策略 的 漏洞 等 ,还 是 经 常 产生 对 操作 系统 的 攻击 。 主 要 表现 在 以 下 几 个 
方面 。 

(1) 以 操作 系统 为 手段 ,获得 授权 以 外 或 未 授权 的 信息 。 它 危害 计算 机 及 其 信息 系 
统 的 保密 性 和 完整 性 。 如 “特洛伊 木马 "“ 逻 辑 炸弹 ”等 都 是 如 此 。 

(2) 以 操作 系统 为 手段 ,阻碍 计算 机 系统 的 正常 运行 或 用 户 的 正常 使 用 。 它 危害 了 
计算 机 系统 的 可 用 性 。 例 如 ,计算 机 病毒 具有 隐蔽 性 ,又 具有 很 强 的 再 生机 制 和 破坏 性 ， 
可 以 使 系统 感染 ,也 可 以 使 应 用 程序 或 数据 文件 受到 感染 ,造成 程序 和 数据 文件 丢失 或 破 
坏 , 轻 则 占用 系统 资源 , 重 则 使 系统 瘫痪 或 崩溃 。 

(3) 以 操作 系统 为 对 象 , 破 坏 系 统 完成 指定 的 功能 。 除 了 计算 机 病毒 破坏 系统 运行 
和 用 户 正 常 使 用 外 ,还 有 一 些 人 为 因素 ,如 干扰 、 设 备 故障 和 误 操 作 也 会 影响 软件 的 正常 
运行 。 

(4) 以 软件 为 对 象 ,非法 复制 和 非法 使 用 。 

(5) 以 操作 系统 为 手段 ,破坏 计算 机 及 其 信息 系统 的 安全 ,窃听 或 非法 获取 系统 的 
信息 。 


<S>[【 末 例 】 IPCS 远程 入 侵 与 防范 


案例 分 析 
本 案例 介绍 如 何 建立 和 断 开 IPC$ 连接 ,看 看 入 侵 者 是 如 何 将 远程 磁盘 映射 到 本 地 
的 。 通 过 IPC$ 连接 进行 入 侵 的 条 件 是 已 获得 目标 主机 管理 员 的 账号 和 密码 ,同时 ,也 介 
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(1) 一 台 连 上 Internet 的 计算 机 。 
(2) Windows 2003 系统 。 


操作 步 又 
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第 2 步 建立 IPC$ 连 接 。 
输入 “net use \\192. 168. 1. 108N\ipc$ ”命令 ,如 图 4.2 所 示 。 


图 4.2 建立 IPCS$ 连接 
第 3 步 ”映射 网 络 驱动 器 。 使 用 如 下 命令 。 
net use z: \\192.168.1.108\c$ 


其 中 ,“\\192.168. 1.108\c$ ”表示 目标 主机 192. 168. 1. 108 上 的 C 盘 ,“$” 符 号 表 
示 隐 藏 的 共享 ,“z:” 表 示 将 远程 主机 的 C 盘 映 射 为 本 地 磁盘 的 盘 符 。 该 命令 表示 把 192. 


图 4.3 映射 网 络 驱动 器 


oy | 计算 机 网 络 安全 技术 案例 教程 轩 轩 轩 轩 省 是 


映射 成 功 后 ,打开 “我 的 电脑 ”, 会 发 现 多 出 一 个 Z 盘 ,上 面 写 着 “192. 168. 1. 108 上 的 
c$”, 该 磁盘 即 为 目标 主机 的 C 盘 , 如 图 4.4 所 示 。 
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图 4.4 映射 后 的 磁盘 


第 4 步 查找 指定 文件 。 
右 击 Z 盘 ,在 快捷 菜单 中 选择 “搜索 ”命令 ,查找 关键 字 “ 账 目 ”, 等 待 一 段 时 间 后 ,会 
得 到 结果 ,如 图 4.5 所 示 。 
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图 4.5 搜索 结果 
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然后 将 该 文件 复制 .粘贴 到 本 地 磁盘 ,其 复制 .粘贴 操作 就 像 对 本 地 磁盘 进行 操作 
一 样 。 

第 5 步 断 开 连接 。 

输入 “net use x /del” 命 令 可 断 开 所 有 的 IPC$ 连接。 其 中 ,“* ”表示 所 有 的 连接 ， 
“/del” 表 示 删 除 , 如 图 4.6 所 示 。 


4.6 断 开 所 有 的 IPC$ 连接 


另外 ,通过 命令 格式 “net use \\ 目 标 IP\ 共 享 名 /del”, 可 以 删除 指定 目标 IP 的 远程 
7 所 


连接 ,如 图 4. 
EEE 


192.168.1.188\ipc$ /de 
» .1 .108 \ipc: 


图 4.7 删除 指定 目标 IP 的 远程 连接 


第 6 步 防范 方法 是 首先 要 了 解 本 机 共享 资源 
输入 “net share” 命 令 , 查 看 本 机 共享 闻 
第 7 步 通过 BAT 文件 执行 删除 共享 资源 命令 。 

首先 建立 BAT 文件 ,如 建立 的 BAT 文件 为 noshare. bat, 输 入 如 下 内 容 


net share ipc$ /del 

net share admin$ /del 

net share c$ /del 

net share 只 /Gel 

如 果 有 其 他 盘 符 ,可 以 继续 添加 。 然 后 将 该 文件 保存 后 ,拷贝 至 本 机 “开始 ”一 “ 程 
序 ”>“ 启 动 ” 命 令 中 。 以 后 每 次 开机 都 会 自动 执行 该 BAT 文件 来 删除 默认 共享 。 如 果 
需要 使 用 默认 共享 资源 , 则 使 用 命令 net share 来 打开 共享 ,如 使 用 “net share IPC $ ” 命 
令 来 打开 IPC$ 。 


< 机 网 络 安全 技术 案例 才 程 ] 
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在 微软 的 企业 级 操作 系统 中 ,如 果 说 Windows 2000 全 面 继 承 了 NT 技术 ,那么 
Windows Server 2003 则 是 依据 . NET 架构 对 NT 技术 进行 了 重要 的 发 展 和 实质 性 的 改 
进 ,并 部 分 实现 了 . NET 战略 ,构筑 了 . NET 战略 中 最 基础 的 一 环 。Windows 2003 
Server 作为 . NET 架构 提出 以 来 最 重要 、 最 基础 性 的 产品 , 它 的 推出 受到 了 业内 人 士 的 
关注 。 

Windows Server 2003 简体 中 文 版 分 Web、Standard、Enterprise 和 Datacenter 4 个 版 
本 。Enterprise 版 最 大 支持 8 个 处 理 器 和 32GB 内 存 ,最 小 配置 为 CPU 速度 不 低 于 
133MHz, 内 存 不 少 于 128MB。 因 此 , Windows Server 2003 具有 硬件 适应 广 和 伸缩 性 强 
的 特点 。 

Windows Server 2003 不 仅 改进 了 Windows 2000 原 有 的 服务 ,提高 了 这 些 服务 的 性 
能 和 扩充 了 许多 功能 ,还 增加 了 新 的 服务 。 


1, 安全 性 


原来 的 Windows 系统 的 安全 性 总 是 不 尽 如 人 意 ,直到 Windows 2000 才 有 较 大 的 改 
观 , 但 依然 存在 缺憾 ,如 登录 时 的 输入 法 漏洞 .IIS 特殊 网 址 漏洞 等 。Windows Server 
2003 在 安全 性 上 下 了 很 大 功夫 ,不 仅 堵 住 了 已 发 现 的 NT 漏洞 .而且 重新 设计 了 安全 子 
系统 ,增加 了 新 的 安全 认证 ,改进 了 安全 算法 。 

在 本 地 安全 策略 方面 ,Windows Server 2003 区 别 于 Windows 2000 之 处 在 于 软件 限 
制 策略 (SRP)。Windows Server 2003 允许 用 户 控制 在 本 地 计算 机 系统 上 运行 哪些 软件 。 
用 户 可 在 选项 中 规定 系统 要 运行 的 软件 ,因此 可 阻止 不 被 信任 的 软件 运行 。 用户 可 定义 
默认 的 安全 级 别 “ 允 许 未 明确 拒绝 的 ”或 “拒绝 未 明确 允许 的 "。 后 来 有 较 好 的 安全 级 别 ， 
但 限制 过 于 严格 。 

在 用 户 组 策略 方面 ,Windows Server 2003 系统 的 组 策略 中 增加 了 两 项 内 容 : 软件 限 
制 策略 (SRP) 和 无 线 网 络 策略 (IEEE 802. 11) 。 软 件 限 制 策略 的 功能 与 本 地 安全 策略 相 
同 ,但 它 可 应 用 到 站 点 、 域 或 机 构 单 位 (OU)。 无 线 网 络 策略 允许 管理 员 管 理 无 线 网 络 ， 
定义 优先 的 无 线 网 络 , 并 对 任何 系统 定义 IEEE 802. 1X 身份 验证 。 

Windows Server 2003 的 安全 中 心 是 活动 目录 (AD)。 它 集成 了 最 新 版 本 的 
Windows 操作 系统 中 的 目录 服务 。Windows Server 2003 的 活动 目录 较 Windows 2000 
的 活动 目录 的 灵活 和 可 管理 性 更 强 ,可 以 处 理 森 林 域 信任 关系 。 


2. 可 管理 性 


Windows Server 2003 的 可 管理 性 较 Windows 2000 有 了 很 大 提高 ,主要 体现 在 各 种 
服务 的 配置 上 。 利 用 “配置 您 的 服务 器 "和 “管理 您 的 服务 器 "向 导 , 系 统管 理 员 可 以 轻松 
地 进行 服务 器 角色 的 安装 和 管理 ,从 而 完成 各 种 服务 器 的 安装 和 配置 ,其 简单 .方便 和 全 
面 均 非 Windows 2000 可 比 。Windows Server 2003 已 内 置 了 文件 服务 器 、 打 印 服 务 器 、 
应 用 程序 服务 器 、 邮 件 服务 器 \ 终 端 服务 器 、 远 程 访问 /VTP 服务 器 \ 域 控制 器 ,DNS 服务 


器 .DHCP 服务 器 \ 流 式 媒体 服务 器 、WINS 服务 器 等 服务 器 角色 ,几乎 陡 括 了 所 有 的 服务 
器 应 用 。 利 用 这 些 内 置 的 服务 器 角色 ,只 需 简单 的 操作 即 可 完成 相应 服务 器 的 配置 。 用 
户 还 可 以 利用 ”管理 您 的 服务 器 "对流 媒体 服务 器 的 一 些 参数 和 选项 进行 调整 。 删 除 服 务 
器 也 很 简单 ,只 需 在 “管理 您 的 服务 器 中 删除 相应 的 服务 器 角色 即 可 。 


3. 系统 性 能 


通过 实验 测试 ,在 相同 的 硬件 配置 下 , Windows Server 2003 的 启动 速度 和 程序 运行 
速度 比 Windows Server 2003 要 快 许多 ,在 低档 硬件 配置 下 和 运行 像 Photoshop 这 类 大 
型 软件 时 表现 得 更 明显 。 这 无 疑 是 Windows Server 2003 核心 得 到 改进 、 各 种 设备 的 管 
理 得 到 优化 的 结果 ,同时 也 表明 ,Windows Server 2003 作为 服务 器 操作 系统 有 十 分 突出 
的 内 存 管理 、 磁 盘 管 理 和 线程 管理 性 能 。 作 为 新 一 代 网 络 操作 系统 , Windows Server 
2003 有 自己 独 有 的 设备 管理 模式 ,所 以 硬件 驱动 程序 要 安装 "For Windows 2003” 的 产 
品 , 而 且 最 好 是 经 微软 认证 获得 数字 签名 的 产品 ,这 样 才能 保证 Windows Server 2003 的 
稳定 性 和 安全 性 。Windows Server 2003 已 内 置 大 多 数 主流 硬件 的 程序 ,这 些 程序 与 硬 
件 厂 商 提 供 的 驱动 程序 相 比 ,稳定 性 和 兼容 性 都 很 好 。 


4. 安装 和 界面 


Windows Server 2003 的 安装 类 似 于 Windows XP, 区 别 是 屏幕 上 角 的 Windows 
Server 2003 提醒 。 安 装 分 为 升级 安装 和 全 新 安装 两 种 。Windows Server 2003 
Enterprise 版 只 能 从 Windows NT Server 4. 0 十 SP5 或 更 高 版 本 及 Windows 2000 Server 
的 各 个 版 本 升级 。 如 果 未 达到 上 述 版 本 ,只 能 先 升级 到 以 上 版 本 后 再 升级 到 Windows 
Server 2003 。 

Windows Server 2003 已 全 面 更 换 为 Windows XP 界面 ,同时 也 为 习惯 于 传统 
Windows 版 本 的 操作 者 准备 了 传统 的 Windows 界面 。 征 软 计划 将 所 有 产品 的 界面 统一 
于 Windows XP 式样 以 适应 . NET 战略 ,这 在 Windows Server 2003 中 得 到 了 再 次 体现 ， 
也 将 在 Office 2003、Visual Studio. NET 2003 等 产品 中 得 到 进一步 的 体现 。 


5. 功能 


Windows Server 2003 改进 并 增强 了 如 下 功能 。 

(1) 远程 控制 功能 。Windows Server 2003 增强 了 原来 通过 Netmeeting 才能 实现 的 
“远程 桌面 连接 ”, 使 系统 管理 员 对 网 络 的 控制 和 管理 大 大 加 强 。 

(2) .NET Framework 计算 平台 。 为 了 适应 . NET 战略 , Windows Server 2003 提供 
了 .NET Framework 计算 平台 , 它 简化 了 Internet 分 布 式 环境 中 应 用 程序 的 开发 (如 开发 
ASP. NET 应 用 程序 和 XML Web 服务 ) ,并 为 这 些 应 用 程序 提供 了 良好 的 支持 和 缩放 的 
服务 端 运行 环境 。 

(3) IIS 6.0。Windows Server 2003 内 置 了 IIS 6.0 版 , 它 较 Windows 2000 中 的 JS 
5.0 在 可 靠 性 、 安 全 性 .可 管理 性 等 方面 有 了 长 足 的 进步 ,尤其 是 在 全 面 支持 . NET 架构 
上 ,提供 了 出 色 的 ASP. NET 运行 环境 和 Web 应 用 程序 开发 和 运行 机 制 。 
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(4) 流 媒 体 服 务 。 对 流 媒体 服务 器 的 改进 ,使 微软 作为 流 媒 体 技术 领导 者 的 地 位 得 
到 进一步 加 强 。 流 媒体 服务 器 (Windows Media Player) 版 本 已 升 至 9.0, 它 与 客户 端的 
Windows Media Player 9.0 的 配合 非常 密切 。 流 媒体 服务 器 改进 了 客户 端 和 服务 器 的 连 
接 方式 ,使 数据 流 在 较 差 的 网 络 环境 下 也 能 流畅 地 播放 。 流 媒体 服务 器 还 提供 了 SDK 开 
发 包 和 各 种 调用 接口 ,使 程序 开发 人 员 可 以 定制 和 打造 个 性 化 的 流 媒体 服务 。 

(5) 关闭 事件 跟踪 功能 。Windows Server 2003 在 关机 和 重启 模块 中 ,增加 了 “关闭 
事件 跟踪 程序 ”选项 ,使 用 户 在 关机 前 进行 选择 。 该 功能 对 客户 端 无 关 紧 要 ,但 对 服务 器 
系统 却 很 重要 ,因为 服务 器 是 连续 工作 的 , 非 计划 的 关机 或 重启 意味 着 事故 ,所 以 必须 记 
录 在 案 。 


4.2 Windows Server 2003 安全 性 简介 


Windows Server 2003 提供 了 一 组 全 面 的 ,可 配置 的 安全 性 服务 ,安全 性 包括 域 控 制 
器 文件 服务 器 .Web 服务 器 .公共 密 钥 和 认证 中 心 、 防 火 墙 及 路 由 与 远程 服务 等 。 


421 安全 登录 


Windows Server 2003 要 求 在 允许 用 户 访 问 系 统 之 前 ,输入 唯一 的 登录 标识 符 和 密 
码 来 标识 自己 。 安 全 特性 如 下 。 

(1) 用 户 账户 

要 想 登 录 Windows Server 2003 域 并 访问 计算 机 的 资源 及 网 络 资源 ,就 必须 在 
Windows Server 2003 系统 中 有 自己 的 账户 。 每 一 个 账户 对 应 一 个 Windows Server 2003 
系统 中 的 用 户 。 

(2) 组 

Windows Server 2003 默认 定义 一 系列 的 组 ,并 给 这 些 组 分 配 相 应 的 权限 ,这 些 组 的 
定义 是 为 了 方便 实现 对 系统 和 用 户 的 管理 。 

(3) Kerberos 身份 验证 协议 

Kerberos 是 Windows Server 2003 默认 的 网 络 服务 访问 的 认证 机 制 ,Kerberos 能 解 
决 旧 的 身份 认证 方式 不 能 解决 的 很 多 问题 。 


422 访问 控制 


允许 资源 的 所 有 者 决定 哪些 用 户 可 以 访问 资源 和 他 们 可 以 如 何 处 理 这 些 资源 。 所 有 
者 可 以 授权 给 某 个 用 户 或 一 组 用 户 ,允许 他 们 进行 各 种 访问 。 安 全 特性 如 下 。 

(1) 活动 目录 。 活动 目录 是 Windows Server 2003 中 最 重要 的 特性 之 一 。 它 将 大 大 
简化 与 执行 和 管理 Windows Server 2003 大 型 网 络 有 关 的 任务 ,同时 , 它 也 将 改善 用 户 与 
网 络 资源 间 的 交互 性 。 为 域 提供 了 可 升级 的 、 灵 活 的 账户 管理 ,允许 精确 地 访问 控制 和 管 
理 委托 。 

(2) NTFS 的 权限 。 

(3) 共享 文件 访问 许可 。 

(4) 分 布 式 文件 系统 。 
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423 安全 审计 


提供 检测 和 记录 与 安全 性 有 关 的 任何 创建 .访问 或 删除 系统 资源 的 事件 或 尝试 的 能 
力 。 登 录 标 识 符 记 录 所 有 用 户 的 身份 ,这 样 便 于 跟踪 任何 执行 非法 操作 的 用 户 。 

(1) 审计 资源 的 使 用 。 

(2) 监控 网 络 资源 的 访问 行为 。 


424 ”Wndows Server 2008 的 安全 策略 
1. 安全 策略 概述 


安全 策略 就 是 保证 系统 安全 性 的 设置 。 安 全 策略 可 以 应 用 到 站 点 , 域 或 组 织 单位 ,并 
影响 到 相关 的 用 户 组 和 计算 机 。 设 定 组 织 的 安全 策略 基于 以 下 基本 因素 。 

(1) 组 织 所 选择 实现 的 安全 等 级 。 这 项 特性 决定 了 组 织 准备 接受 的 风险 量 。 

(2) 组 织 为 安全 操作 所 写 的 指南 。 它 描述 了 管理 员 和 用 户 为 确保 一 个 安全 环境 所 应 
承受 的 责任 。 

(3) 为 企业 设计 的 活动 目录 名 字 空间 。 活 动 目录 的 层次 结构 名 字 空 间 决 定 了 安全 策 
略 的 作用 域 及 哪些 安全 策略 用 于 哪些 组 或 计算 机 。 

(4) Windows Server 2003 为 活动 目录 安全 策略 和 本 地 安全 策略 所 做 的 设置 。 

安全 策略 按 如 下 顺序 应 用 。 

@ 唯一 的 本 地 组 策略 对 象 应 用 。 

@ 站 点 组 策略 对 象 ,按照 行政 管理 指定 的 顺序 应 用 。 

@ 域 组 策略 对 象 ,按照 行政 管理 指定 的 顺序 应 用 。 

@ 对 于 组 织 单位 组 策略 对 象 ,按照 从 大 组 织 单位 到 小 组 织 单位 顺序 (从 父 组 织 单位 
到 子 组 织 单位 ) 应 用 ,而 在 每 个 组 织 单位 级 别 中 , 则 按照 行政 管理 指定 的 顺序 应 用 。 

策略 设置 存储 在 组 策略 对 象 中 ,可 以 将 组 策略 管理 单元 看 成 一 个 应 用 程序 ,因此 , 设 
置 安全 策略 一 般 使 用 组 策略 对 象 。 

有 两 种 组 策略 对 象 : 本 地 和 域 组 策略 对 象 。 

存储 在 域 控 制 器 中 的 域 策 略 对 象 只 能 在 Active Directory 环境 下 使 用 。 它 们 适用 于 
组 策略 对 象 所 关联 的 站 点 , 域 或 组 织 单位 中 的 用 户 和 计算 机 。 

本 地 组 策略 对 象 存 储 在 所 有 运行 Windows Server 2003 的 计算 机 。 一 个 本 地 组 策略 
对 象 只 能 存储 在 一 台 计算 机 上 ,而 且 该 对 象 在 域 组 策略 对 象 中 有 一 个 可 用 的 设置 子 集 。 
如 果 二 者 的 设置 发 生 冲 突 , 域 组 策略 对 象 的 设置 能 覆盖 本 地 组 策略 对 象 的 设置 。 如 果 不 
发 生 冲突 , 则 都 可 以 应 用 。 


2. Windows Server 2003 安全 策略 的 内 容 


Windows Server 2003 安全 策略 主要 包括 3 个 方面 , 即 本 地 组 策略 , 域 安全 策略 、 域 控 
制 器 安全 策略 。 
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(1) 本 地 组 策略 

使 用 这 些 对 象 , 组 策略 设置 可 以 存储 在 个 人 计算 机 上 ,无 论 这 些 计算 机 是 否 为 Active 
Directory 环境 或 网 络 环境 的 一 部 分 。 因 为 它 的 设置 可 以 被 与 站 点 、 域 和 单位 关联 的 组 策 
略 对 象 覆盖 ,在 Active Directory 环境 中 ,本 地 组 策略 对 象 的 影响 力 最 小 。 在 非 网 络 环境 
中 (或 缺少 Windows Server 2003 域 控制 器 的 网 络 环境 中 ) ,本 地 组 策略 对 象 的 设置 比较 
重要 ,因为 此 时 它们 不 能 被 其 他 组 策略 对 象 覆盖 。 本 地 策略 的 设置 在 “本 地 安全 设置 " 窗 
口中 进行 ,如 图 4. 8 所 示 。 


密码 和 账户 锁定 策略 
审核 、 用 户 权 利和 安全 选项 策略 


轧 Pp 安全 策略 ， 在 本 地 机 器 Internet 协议 安全 性 (IP5ec) 管理 。 为 与 别 的 计 ，, 


图 4.8 本 地 安全 设置 


(2) 域 安 全 策略 和 域 控制 器 安全 策略 

域 安全 策略 和 域 控制 器 安全 策略 应 用 于 域内 ,针对 站 点 、 域 或 组 织 单位 设置 组 策略 ， 
这 些 组 策略 的 数据 存储 在 活动 目录 内 , 即 域 控制 器 的 systemroot%\SYSVOL\sysvol\ 
域名 \policies 文件 夹 内 。 

域 安全 策略 与 域 控 制 器 安全 策略 的 配置 内 容 相似 。 


4.3 Windows Server 2003 的 用 户 安全 和 管理 策略 


431 用 户 账 户 和 组 


在 网 络 环境 中 ,用 户 账户 能 为 用 户 保留 具有 个 性 化 的 操作 环境 ,如 界面 的 设置 (桌面 、 
“开始 ?菜单 .屏幕 显示 等 )、 鼠 标 和 键盘 的 设置 .输入 法 的 设置 .网 络 连接 的 设置 等 。 但 更 
为 重要 的 是 用 来 保证 系统 安全 ,防止 用 户 非法 使 用 计算 机 资源 。 

用 户 账号 最 重要 的 组 成 部 分 是 用 户 名 和 密码 。 每 个 登录 网 络 的 用 户 必 须要 有 用 户 账 
户 。 在 登录 到 网 络 系统 时 ,首先 需要 用 户 输入 用 户 名 和 密码 ,然后 系统 对 它们 进行 检查 。 
在 登录 成 功 后 ,网 络 系统 会 根据 管理 员 已 赋予 用 户 的 权限 来 控制 和 监视 用 户 对 系统 资源 
的 访问 。 
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1. 用 户 账户 


(1) 用 户 账户 的 类 型 

在 Windows Server 2003 中 有 两 种 用 户 账户 : 本 地 用 户 账户 和 域 用 户 账户 。 

OO 建立 在 Windows Server 2003 独立 服务 器 、 成 员 服 务 器 或 Windows Server 2003 
Professional 的 本 地 计算 机 上 的 账户 就 是 本 地 用 户 账户 。 通 过 本 地 用 户 账户 ,用 户 能 够 登 
录 并 访问 本 地 计算 机 资源 。 但 是 只 能 访问 这 台 计 算 机 上 的 资源 ,无 法 访问 网 络 上 的 资源 。 
在 Windows Server 2003 中 ,“ 本 地 用 户 和 组 ”及 “用 户 和 密码 ”管理 器 是 用 来 管理 本 地 用 
户 和 本 地 组 的 工具 。 

@ 建立 在 域 控制 器 的 活动 目录 数据 库 中 定义 的 账户 就 是 域 用 户 账户 。 通 过 域 用 户 
账户 ,用 户 能 够 登录 到 域 并 在 网 络 上 使 用 用 户 账户 和 密码 ,从 任何 计算 机 上 访问 域内 

(2) 内 置 用 户 账户 

在 网 络 操 作 系 统 安装 完成 后 ,安装 程序 自动 创建 了 一 些 用 户 账户 或 用 户 对 象 ,这 些 用 
户 账户 或 用 户 对 象 为 系统 的 配置 ,管理 提供 了 基本 的 权利 ,这 些 用 户 账户 或 用 户 对 象 被 称 
为 内 置 用 户 账户 。 在 安装 Windows Server 2003 时 ,安装 程序 自动 创建 了 两 种 内 置 用 户 
账户 : 一 种 是 Administrator( 管 理 员 ) 账 户 ; 另 一 种 是 Guest( 访 客 ) 账 户 。 

Q@ Administrator 账户 拥有 对 计算 机 软件 和 网 络 设置 的 安全 控制 权 , 可 以 用 它 来 管 
理 计算 机 与 域内 的 设置 。 如 建立 ,更改 或 删除 用 户 账户 .设置 安全 策略 ,建立 打印 机 、 设 置 
用 户 权 限 等 。Administrator 可 以 被 改名 ,但 不 能 被 删除 .禁用 或 从 Administrator 本 地 组 
中 撤销 ,从 而 保证 用 户 不 会 因 所 有 的 管理 级 账户 被 删除 或 者 失效 而 无 法 进入 该 计算 机 工 
作 。 这 就 是 Administrator 账户 区 别 于 其 他 Administrator 本 地 组 成 员 的 主要 特征 。 

@ Guest 账户 是 供 临时 使 用 的 账户 ,提供 偶尔 的 登录 或 者 为 方便 仅 登录 一 次 的 用 户 
使 用 。Guest 账户 不 需要 设置 密码 。Guest 账户 的 默认 值 是 禁用 的 ,但 管理 员 可 以 启用 
它 。 与 任何 用 户 账 户 一 样 ,可 以 为 Guest 账户 赋予 各 种 权利 和 权限 。 在 默认 情况 下 ， 
Guest 账户 是 内 置 Guests 组 的 成 员 , 它 只 允许 用 户 从 本 地 登录 到 工作 站 或 成 员 服务 器 
中 ,其 他 的 权利 及 任何 权限 必须 由 管理 员 或 账户 操作 员 授予 Guest 本 地 组 。 


2. 组 


组 是 用 户 账户 的 集合 。 通 过 组 能 够 极 大 地 简化 用 户 账户 的 管理 任务 。 例 如 , 当 为 一 
个 公司 的 成 员 创建 用 户 账户 时 ,必须 对 这 些 成 员 设置 网 络 资源 的 使 用 权限 ,如果 为 每 个 账 
户 分 别 设置 权限 , 那 将 是 烦琐 并 容易 出 错 的 。 如 果 我 们 把 这 个 公司 的 成 员 认 为 是 一 个 组 ， 
只 要 把 成 员 的 账户 加 入 到 组 中 ,再 对 组 设置 相关 资源 的 权限 , 则 每 个 成 员 的 账户 都 拥有 组 
的 权限 ,这样 就 大 大 简化 了 用 户 的 管理 。 


432 ”WIndows Server 2008 系 统 的 用 户 账户 的 管理 
1. 管理 的 基本 内 容 
为 使 管理 过 程 合理 化 和 实现 适当 的 安全 措施 .在 管理 用 户 账户 时 应 考虑 如 下 6 个 
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问题 。 

(1) 命名 约定 

命名 约定 确立 了 在 网 络 上 如 何 识别 用 户 。 用 户 账户 名 称 既 是 用 户 在 网 络 上 的 唯一 身 
份 , 又 是 用 户 登 录 网 络 或 计算 机 系统 的 标识 。 

(2) 密码 要 求 

用 户 账户 的 密码 要 求 是 为 了 保护 对 域 或 计算 机 资源 的 访问 ,也 是 对 用 户 自 身 利益 的 
保护 。 密 码 使 用 应 遵循 下 述 准则 。 

@ 一 定 要 给 Administrator 账户 指定 密码 以 防止 未 经 授权 的 用 户 使 用 此 账户 。 

@ 告诉 用 户 设法 保护 并 经 常 变 更 其 密码 。 设 置 密码 时 应 遵循 如 下 复杂 性 原则 。 

。 选择 长 密码 。 密 码 长 度 不 要 小 于 6 位 ,密码 越 长 ,被 猜 中 的 可 能 性 就 越 小 。 大 多 
数 系统 密码 设置 为 5 一 8 个 字符 ,还 有 许多 系统 允许 更 长 的 密码 。 
避免 使 用 与 用 户 有 关联 的 信息 。 如 家 庭 地 址 .电话 号 码 或 家 庭 成 员 的 名 字 , 以 及 
生日 名字 、 年 份 或 用 户 计算 机 中 的 典型 特征 等 。 同 时 ,应 避免 在 密码 中 使 用 用 户 
账户 名 的 任何 部 分 。 
密码 中 不 要 使 用 常用 单词 (避免 字典 攻击 ) 或 常用 英文 简称 。 
使 用 大 写字 符 和 小 写字 符 混 合 编码 。 密 码 对 字符 的 大 小 写 是 敏感 的 , 如 
PassWord 与 password 是 不 同 的 。 
密码 应 该 同时 包含 字母 ,数字 、 标 点 符号 和 控制 字符 。 

@ 根据 用 户 的 工作 性 质 ,决定 账户 是 否 需要 终止 。 对 临时 雇员 , 当 他 们 的 合同 或 工 
作 契 约 结束 时 ,终止 他 们 的 账户 。 

@ 设 定 控制 密码 的 对 象 。 密 码 控制 有 如 下 两 种 形式 。 

。 为 用 户 分 配 唯 一 的 密码 并 防止 用 户 变更 它 ,这 是 把 控制 权 给 予 管 理 员 。 

。 为 用 户 分 配 一 个 初始 的 密码 ,然后 要 求 用 户 第 一 次 登录 时 更 改 它 , 这 是 把 控制 权 

给 予 用 户 。 

(3) 登录 时 间 和 站 点 限制 

在 默认 情况 下 ,拥有 有 效 账户 的 用 户 可 以 每 天 24 小 时 、 每 周 7 天 内 ,从 任何 一 台 计算 
机 连接 到 服务 器 上 。 但 是 ,从 网 络 安全 性 考虑 ,限制 用 户 登录 的 时 间 和 在 指定 的 工作 站 上 
登录 是 非常 重要 的 ,其 基本 要 求 如 下 。 

Q@ 只 让 用 户 在 其 工作 期 间 登 录 网 络 。 

@ 避免 用 户 在 存储 有 重要 数据 的 计算 机 上 登录 网 络 。 

(4) 主 文件 夹 设置 

主 文件 夹 是 存储 用 户 文 件 和 程序 的 文件 夹 。 它 为 用 户 文 件 提供 了 一 个 信息 存 取 位 
置 ,这 样 能 方便 地 对 用 户 文 件 进 行 创建 .和 备份. 删除 、 整 理 等 维护 工作 。 一 般 应 为 每 个 用 户 
分 配 其 自己 的 主 文件 夹 , 这 样 可 以 避免 发 生 多 个 用 户 共用 一 个 文件 夹 或 目录 所 造成 的 安 
全 问题 。 

如 果 没 有 为 用 户 分 配 主 文件 .系统 默认 的 文件 夹 是 本 地 计算 机 的 My Document 文件 
夹 。 主 文件 夹 可 以 存储 在 网 络 服务 器 或 用 户 的 本 地 计算 机 上 。 


(5) 配置 文件 的 设置 

用 户 配置 文件 包含 用 户 所 有 自行 设置 的 工作 环境 ,如 桌面 设置 .网 络 连接 等 。 在 
Windows Server 2003 中 ,用户 配置 文件 类 型 有 如 下 3 种 。 

Q@ 本 地 用 户 配置 文件 ,该 配置 文件 随 计算 机 的 不 同 而 不 同 。 只 适合 在 本 地 计算 机 上 
的 环境 配置 。 

@ 漫游 用 户 配置 文件 ,该 配置 文件 为 用 户 在 网 络 上 登录 提供 了 相同 的 配置 文件 , 适 
用 于 用 户 在 网 络 任何 计算 机 上 的 登录 。 用 户 可 以 根据 自己 的 需要 更 改 配置 文件 。 

@ 强制 用 户 配置 文件 ,该 配置 文件 也 是 一 种 允许 用 户 配置 的 文件 ,但 是 ,用 户 不 能 修 
改 配置 文件 。 

(6) 列 出 用 户 账 户 规划 表 

为 了 简单 明了 ,同时 减少 用 户 账户 建立 过 程 中 的 错误 ,可 以 列 出 用 户 账户 规划 表 。 


2. 设置 账户 策略 


为 了 增强 用 户 账户 密码 的 安全 性 和 有 效 性 , Windows Server 2003 将 账户 密码 的 设 
置 作为 安全 策略 之 一 提供 给 管理 员 。 

账户 策略 设置 的 对 象 是 系统 上 的 所 有 账户 ,而 不 是 针对 某 一 个 特别 的 账户 。 这 些 设 
置 是 为 了 让 系统 能 够 运行 得 更 安全 。 如 果 想 要 使 系统 更 安全 ,就 要 认真 地 设置 这 些 项 目 。 

设置 的 方法 是 使 用 组 策略 编辑 器 中 的 账户 策略 设置 功能 ,账户 策略 包括 账户 的 密码 
策略 .账户 的 锁定 策略 和 Kerberos 策略 3 个 方面 ,如 图 4.9 所 示 。 
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项 窑 码 必须 符合 复杂 性 要 求 
| 国安 码 长 度 最 小 值 


(1) 密码 策略 

密码 策略 中 的 设置 是 有 关 密 码 的 设置 ,如 图 4. 9 所 示 。 密 码 策略 包括 下 列 6 项 限制 ， 
如 要 设置 某 项 ,只 需要 右 击 对 应 的 行 ,在 快捷 菜单 中 做 相应 的 设置 即 可 。 

@ 密码 最 长 存留 期 。 用 于 设置 用 户 密码 的 有 效 期 限 。 如 果 用 户 在 指定 的 日 期 内 没 
有 更 改 密码 , 则 在 期 限 到 了 之 后 ,系统 就 会 强迫 用 户 更 改 密码 ,否则 就 不 让 用 户 注册 。 因 
为 有 的 用 户 不 愿意 改变 密码 这样, 用 户 的 密码 很 容易 被 他 人 所 获取 ,这 无 疑 造成 了 系统 
上 的 安全 漏洞 。 所 以 , 尽 可 能 不 要 选择 “密码 永久 有 效 " 这 个 选项 ,以 免 造成 系统 安全 上 洪 
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在 的 隐患 。 

@ 密码 最 短 存留 期 。 密 码 最 短 存留 期 限制 不 允许 用 户 频 繁 更 换 密码 ,默认 设置 0 表 
示 用 户 可 以 任何 时 候 更 换 密码 。 

@ 密码 长 度 最 小 值 。 可 设置 用 户 所 使 用 的 密码 的 最 小 长 度 。 建 议 最 好 限定 用 户 要 
设置 6 个 字符 以 上 的 密码 ,这 样 , 密 码 就 不 容易 被 他 人 所 猜 中 。 

@ 强制 密码 历史 。 该 项 设置 的 目的 是 为 了 避免 用 户 在 短 时 间 内 重复 使 用 相同 的 密 
码 , 默 认 情 况 下 系统 不 会 记录 密码 历史 ,允许 用 户 不 断 使 用 相同 的 密码 。 实 际 上 ,如 果 该 
项 设置 保留 默认 值 ,密码 最 长 存留 期 也 没有 什么 意义 ,因为 用 户 可 以 使 用 相同 的 密码 替换 
原来 的 密码 ,起 不 到 强制 用 户 更 改 密码 的 作用 。 推 荐 值 迫使 用 户 必须 在 更 换 过 3 个 不 同 
的 密码 后 才能 使 用 一 个 过 去 使 用 的 密码 。 

@ 密码 必须 符合 安装 的 密码 筛选 器 的 复杂 性 要 求 。 

@ 用 户 必 须 登 录 以 更 改 密码 。 

(2) 账户 锁定 策略 

账户 锁定 是 用 来 设置 用 户 注册 失败 时 的 处 理 动作 。 在 图 4. 10 的 账户 锁定 区 中 ,如 果 
选择 了 账户 不 锁定 策略 的 话 ,系统 将 对 用 户 的 失败 注册 不 做 任何 处 理 。 为 了 防止 他 人 猜 
中 用 户 的 密码 ,建议 使 用 账户 锁定 策略 。 
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| 辆 复位 账户 锁定 计数 器 没有 定义 
| 辆 账 P 锅 定时 间 设 有 定义 


0 次 无 效 登 录 


图 4.10 账户 锁定 策略 


锁定 账户 策略 有 如 下 3 种 。 

@ 账户 锁定 阀 值 。 设 置 在 用 户 连 续 注册 失败 几 次 后 ,锁定 其 账户 。 

@ 账户 锁定 时 间 。 设 置 账户 锁定 的 时 间 ,在 锁定 指定 的 时 间 内 ,系统 禁止 打开 用 户 
的 账户 ,直到 锁定 时 间 结 束 , 系 统 将 自动 重新 打开 用 户 的 账户 。 

@ 复位 账户 锁定 计数 器 。 这 里 实际 上 也 是 设置 时 间 ,如 果 用 户 两 次 注册 失败 的 间隔 
在 该 时 间 范 围 内 ,就 视 为 连续 注册 失败 ,如 果 超 出 该 时 间 范 围 , 则 不 视 为 连续 失败 。 

(3) Kerberos 策略 

Kerberos 为 服务 器 与 客户 及 服务 器 与 服务 器 提供 了 成 熟 的 相互 验证 身份 的 方法 。 

在 Windows Server 2003 中 实现 的 Kerberos 只 负责 对 用 户 身份 的 验证 ,而 不 授权 访 
问 。 在 用 户 的 身份 得 到 Kerberos 确认 后 ,本 地 安全 负责 允许 或 拒绝 用 户 访问 资源 。 
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Windows Server 2003 中 Kerberos 策略 被 定义 在 域 中 ,Kerberos 策略 存放 在 活动 目 
录 里 ,而 且 只 有 Domain Administrator 组 的 成 员 有 权 改 变 策 略 ,主要 策略 如 下 。 

Q@ 强制 用 户 登录 限制 。 用 于 使 每 个 服务 票证 请 求生 效 ,以 确保 用 户 拥有 在 目标 服务 
器 上 的 登录 权限 。 

@ 服务 票证 最 长 寿命 。 票 证 是 客户 从 服务 器 收 到 的 一 个 加 密 信息 。 该 信息 包括 有 
关 客 户 的 信息 和 客户 与 服务 器 的 会 话 密 钥 。 客 户 只 有 在 收 到 客户 会 话 密 钥 和 来 自 
Kerberos 代理 一 一 密 钥 分 配 服 务 器 (KDC) 的 会 话 票 证 后 ,才能 成 功 地 与 服务 器 联系 。 该 
设置 以 分 钟 为 计时 单位 ,不 能 少 于 10 分 钟 ,也 不 能 大 于 用 户 票 证 最 长 寿命 。 

@ 用 户 票 证 最 长 寿命 。 用 户 票 证 是 Kerberos 的 另 一 种 确认 代理 的 访问 者 真正 身份 
的 票证 。 从 KDC 返回 一 个 长 期 密 钥 , 该 设置 以 小 时 为 计时 单位 ,合适 的 设置 为 10 小 时 。 
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建立 组 的 目的 是 为 了 设置 具有 相同 工作 性 质 的 用 户 。 如 某 公司 的 业务 部 门 及 会 计 部 
门 , 两 个 部 门 都 有 自己 特定 的 工作 任务 ,因此 ,可 将 同一 部 门 或 工作 性 质 相同 的 用 户 组 合 
在 一 起 工作 ,构成 一 个 组 ,便于 以 后 进行 权限 设置 。 与 创建 用 户 账户 类 似 ,可 以 通过 新 建 
或 复制 创建 组 。 


1. Windows Server 2003 组 的 形式 


从 使 用 领域 可 将 组 分 为 本 地 组 .全 局 组 和 通用 组 3 种 形式 。 

(1) 本 地 组 

在 Professional 和 成 员 服 务 器 中 使 用 本 地 组 ,本 地 组 给 用 户 访问 本 地 计算 机 上 的 资 
源 提供 权限 。 

虽然 在 大 多 数 情况 下 ,单独 的 用 户 权利 能 够 直接 分 配给 一 个 用 户 ,但 这 是 不 可 取 的 。 
因为 在 用 户 账户 较 多 的 情况 下 ,这 会 加 大 管理 员 的 负担 及 出 错 的 可 能 性 。 为 了 使 用 户 使 
用 本 地 资源 ,一般 将 用 户 账户 添加 到 本 地 组 。 然 后 给 本 地 组 分 配 资源 权限 ,这 样本 地 组 也 
给 用 户 提供 了 完成 系统 任务 的 权利 ,如 更 改 计 算 机 上 的 系统 时 间 , 或 备份 文件 和 恢复 
文件 

Windows Server 2003 包含 几 个 内 置 本 地 组 ,这 些 组 带 有 预先 分 配 的 用 户 权 利 。 例 
如 ,内 置 的 Administrators 组 给 予 成 员 完 成 建立 用 户 账户 和 组 账户 、 备 份 数 据 及 更 改 
Windows Server 2003 配置 等 任务 的 权利 。 

内 置 本 地 组 是 预先 确定 的 本 地 组 , 它 具 有 预先 确定 的 一 组 用 户 权 利 。 用 户 权利 决定 
用 户 或 内 置 本 地 组 的 成 员 能 够 完成 的 系统 任务 。Windows Server 2003 的 内 置 本 地 组 包 
括 Users、Guests、Administrators、Backup Operators\Power Users 和 Operators 6 个 组 。 

(2) 全 局 组 

全 局 组 主要 用 来 组 织 用 户 , 也 就 是 将 多 个 网 络 访问 权 类 似 的 用 户 账户 加 入 同一 个 全 
局 组 。 全 局 组 的 特性 如 下 。 

@ 全 局 组 内 的 成 员 只 能 是 域内 用 户 账户 或 其 他 全 局 组 。 

@ 全 局 组 可 以 访问 域内 的 资源 。 
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(3) 通用 组 

通用 组 主要 用 于 指定 对 多 个 域 中 相关 资源 的 访问 权限 。 其 成 员 可 以 是 Windows 
Server 2003 中 定义 的 域 ,并 且 能 被 赋予 所 有 域 的 权限 。 通 用 组 的 特性 如 下 。 

@ 组 内 的 成 员 包 括 任何 一 个 域内 的 用 户 账户 、 通 用 组 、 全 局 组 及 同一 个 域内 的 本 地 
组 ,但 不 包括 其 他 域 中 的 本 地 组 。 

@ 通用 组 授予 所 有 域 的 权限 ,通用 组 就 可 以 访问 任何 域 中 的 资源 。 


2. Windows Server 2003 组 的 规划 


建立 组 应 按照 下 面 准 则 进行 。 

@ 根据 用 户 的 公共 需求 ,逻辑 上 将 用 户 组 织 起 来 。 

@ 在 用 户 账 户 驻 留 的 每 个 域 中 ,为 每 个 用 户 的 逻辑 组 建立 一 个 全 局 组 ,然后 将 适当 
的 用 户 账户 添加 到 适当 的 全 局 组 中 。 

@ 以 资源 访问 需求 为 依据 建立 本 地 组 。 

@ 为 本 地 组 分 配 适当 的 权限 。 

@ 将 全 局 组 添加 到 本 地 组 中 。 

@ 做 出 组 账户 的 规划 表 。 将 组 的 信息 列表 ,建立 组 账户 规划 表 , 既 便于 和 弄 清 楚 组 及 
其 关系 ,又 有 利于 检查 和 审计 组 账户 的 内 容 。 


4.4 NTFS 文件 和 文件 夹 的 存 取 控制 


存 取 控 制 是 资源 访问 安全 的 基本 手段 。 存 取 控 制 就 是 对 用 户 的 访问 授权 的 识别 , 防 
止 非法 访问 行为 的 发 生 。 在 Windows Server 2003 中 , 存 取 控制 主要 通过 NTFS 文件 和 
文件 夹 ( 目 录 ) 权 限 设置 .共享 文件 夹 权 限 设 置 及 分 布 式 文件 系统 对 资源 的 保护 等 实现 。 
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微软 为 Windows NT 操作 系统 设计 了 一 种 新 的 文件 系统 ,这 种 文件 系统 就 是 NTFS 
(new technology file system, 新 技术 文件 系统 ) , 它 广泛 应 用 在 Windows NT 操作 环境 所 
设计 的 文件 系统 ,并 且 广 泛 应 用 在 Windows NT 的 后 续 版 本 Windows 2003 与 Windows 
XP 中 。 与 Windows 系统 过 去 使 用 的 FAT/FAT 32 格式 的 文件 系统 相 比 ,NTFS 具有 如 
下 优势 。 

@ 支持 长 文件 名 。 

@ 对 文件 目录 的 安全 控制 。 

@ 先进 的 容错 能 力 。 

@ 不 易 受 到 病毒 和 系统 崩溃 的 侵袭 。 

Windows Server 2003 硬盘 内 的 文件 与 文件 夹 如 果 是 位 于 NTFS 磁盘 分 区 中 , 则 可 
以 通过 “NTFS 权限 ?来 指派 用 户 或 组 对 这 些 文件 与 文件 夹 的 使 用 权限 。 经 过 权限 指派 
后 ,只 有 具备 权限 的 用 户 或 组 才 可 以 访问 这 些 文件 与 文件 夹 。 
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(1) NTFS 文件 权限 的 类 型 
NTFS 文 件 权 限 共 有 5 种 类 型 ,具体 如 表 4. 1 所 示 。 


表 4.1 NTFS 文 件 权限 的 类 型 


文件 权限 说 明 

读 取 此 权限 可 以 读 取 文件 内 的 数据 、 查 看 文件 的 属性 、 查 看 文件 的 所 有 者 和 权限 等 
此 权限 可 以 将 文件 覆盖 、 修 改 文件 的 属性 、 查 看 文件 的 所 有 者 和 权限 等 。 但 是 ,用 

写 人 户 即 使 拥有 此 权限 ,也 不 可 以 直接 更 改 文件 内 的 数据 (如 通过 Word 软件 来 更 改 )， 
只 能 够 将 该 文件 整个 覆盖 掉 , 因 为 此 权限 无 法 读 取 文件 的 属性 ,除非 用 户 也 具备 
上 述 “ 读 取 ” 的 权限 

读 取 及 运行 ”| 它 除了 拥有 *“ 读 取 ” 的 所 有 权限 外 ,还 具有 运行 应 用 程序 的 权限 

修改 它 除了 拥有 “ 写 人 ”与 “ 读 取 及 运行 "的 所 有 权限 外 ,还 可 以 更 改 文件 内 的 数据 、 删 除 
文件 ,修改 文件 名 等 

完全 控制 它 拥有 所 有 NTFS 文件 的 权限 ,也 就 是 除了 拥有 前 述 的 所 有 权限 之 外 ,还 拥有 “ 修 
改 权限 ”与 “取得 所 有 权 ” 的 权限 


(2) NTFS 文件 夹 权 限 的 类 型 
Windows Server 2003 中 ,NTFS 文件 夹 权 限 的 类 型 有 6 种 ,如 表 4.2 所 示 。 


表 4.2 NTFS 文件 夹 权 限 的 类 型 


文件 夹 权 限 说 明 

读 取 此 权限 可 以 查看 该 文件 夹 内 文件 的 名 称 和 文件 夹 的 名 称 、 查 看 文件 夹 的 属性 、 查 看 
文件 夹 的 所 有 者 和 权限 等 

写 入 此 权限 可 以 在 文件 夹 内 添加 文件 与 文件 夹 , 修 改 文件 夹 的 属性 、 查 看 文件 夹 的 所 有 
者 和 权限 等 

列 出 文件 夹 | 此 权限 除了 拥有 “ 读 取 ” 的 所 有 权限 之 外 ,还 具有 “遍历 子 文件 夹 ”的 权限 ,也 就 是 具备 

目录 进入 子 文件 夹 的 功能 (即使 用 户 没有 权限 访问 该 文件 夹 ,也 可 以 进入 此 子 文件 夹 ) 


它 拥有 与 “ 列 出 文件 夹 目录 ”几乎 完全 相同 的 权限 ,只 是 在 权限 的 继承 方面 有 所 不 
读 取 及 运行 | 同 ,“ 列 出 文件 夹 目录 ”的 权限 只 由 文件 夹 的 功能 (即使 用 户 没 有 权限 访问 该 文件 夹 ， 
也 可 以 进入 此 子 文件 夹 ) 


修改 它 除了 拥有 “ 写 入 ”与 “ 读 取 及 运行 "的 所 有 权限 外 ,还 可 以 删除 子 文件 夹 .改变 子 文件 
夹 的 名 称 等 


它 拥有 所 有 NTFS 文件 夹 的 权限 ,也 就 是 除了 拥有 上 述 的 所 有 权限 外 ,还 拥有 “修改 
权限 ”与 “取得 所 有 权 ” 的 权限 


完全 控制 


442 在 NIFS 下 用 户 的 有 效 权限 


NTFS 权限 是 指 系统 管理 员 或 拥有 者 赋予 用 户 和 组 访问 某 个 文件 和 文件 夹 的 权限 ， 
通过 允许 或 禁止 某 些 用 户 或 组 访问 文件 夹 ,实现 对 资源 的 保护 。NTFS 权限 既 可 以 在 本 
地 应 用 ,也 可 以 在 域 中 应 用 。 

NTFS 权限 分 为 NTFS 文 件 权 限 和 NTFS 文件 夹 权 限 。NTFS 文件 权限 是 应 用 在 
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文件 上 的 NTFS 权限 ,用 来 控制 用 户 对 文件 的 访问 。NTFS 文件 夹 权限 用 来 控制 用 户 对 
文件 夹 和 该 文件 夹 下 的 文件 及 子 文件 夹 的 访问 。 默 认 该 文件 夹 下 的 文件 及 文件 夹 继承 该 
文件 夹 的 NTFS 权限 ,因此 ,通过 对 文件 夹 设置 权限 可 以 赋予 该 文件 夹 下 的 文件 及 子 文 
件 权 限 。 

除了 这 几 种 标准 权限 外 ,还 有 一 些 特殊 的 NTFS 权限 ,作为 这 几 种 标准 权限 的 补充 
和 细 化。 在 特殊 NTFS 权限 中 把 标准 权限 中 的 * 读 取 ” 权 限 细 分 为 “ 读 取 数据 "“ 读 取 属 
性 ”“ 读 取 扩 展 属性 ”和 *“ 读 取 权限 ”4 种 更 加 具体 的 权限 。 


443 NIFS 权限 规则 


一 个 用 户 可 能 同时 属于 多 个 组 ,而 不 同 的 组 对 某 个 文件 夹 或 文件 拥有 不 同 的 权限 , 那 
么 该 用 户 对 该 文件 夹 或 文件 具有 怎样 的 权限 呢 ? 对 于 这 种 多 重 权 限 ,NTFS 遵循 以 下 规 
则 来 分 配 用 户 权 限 的 优先 级 。 


1. 权限 的 累加 


用 户 对 某 文件 夹 或 文件 的 有 效 权 限 是 分 配给 该 用 户 和 该 用 户 所 属 所 有 组 权限 的 总 
和 。 例 如 ,用 户 stu002 同时 属于 组 stua 和 office02 ,三 者 对 某 文件 的 权限 分 别 为 读 取 、 写 
入 和 运行。 那么 ,该 用 户 拥有 的 有 效 权 限 为 3 个 权限 的 总 和 : 读 取 十 写 人 十 运行 。 


2. 文件 权限 高 于 文件 夹 权 限 


如 果 某 用 户 拥有 对 某 文件 及 其 所 在 文件 夹 不 同 的 权限 , 则 文件 的 权限 高 于 文件 夹 的 
权限 。 例 如 ,用 户 stu002 拥有 对 文件 夹 C:\tools 写 入 的 权限 ,同时 拥有 对 文件 C:\tools\ 
mylx. txt 读 取 的 权限 ,那么 该 用 户 对 文件 C:\tools\mylx. txt 拥有 的 有 效 权限 为 读 取 权限 。 


3. 拒绝 权限 高 于 其 他 权限 


如 果 用 户 对 某 文件 夹 或 文件 同时 拥有 “拒绝 权限 ”和 其 他 权限 时 ,拒绝 权限 高 于 其 他 
权限 , 即 该 用 户 的 有 效 权限 为 拒绝 权限 。 拒 绝 权 限 可 以 赋予 用 户 ,也 可 以 赋予 组 。 例 如 ， 
用 户 stu001 同时 属于 组 stua 和 stub, 三 者 对 某 文件 的 权限 分 别 为 读 取 、 写 入 和 拒绝 写 
入 。 那 么 ,该 用 户 拥有 的 有 效 权 限 为 读 取 权 限 。 虽 然 组 stua 对 该 文件 拥有 写 人 权限 ,但 
组 stub 对 该 文件 拥有 拒绝 写 和 人 权限 ,拒绝 权限 高 于 其 他 权限 ,因此 ,组 stua 赋予 的 
stu001 写 人 权限 不 生效 。 


4. 权限 的 继承 


默认 情况 下 ,新 建 的 子 文件 夹 和 文件 会 继承 父 文件 夹 的 权限 , 根 目录 下 的 文件 或 文件 
夹 继 承 磁盘 分 区 的 权限 。 如 果 要 拒绝 继承 父 文件 权限 可 以 通过 相关 操作 实现 ,如 果 要 强 
制 下 级 继承 也 可 以 通过 相关 的 操作 实现 。 如 果 一 个 文件 拒绝 继承 父 文件 夹 权 限 , 然 后 又 
设置 其 父 文件 夹 强制 下 级 继承 ,那么 ,该 文件 被 强制 继承 其 父 文件 夹 的 权限 , 即 后 来 设置 
的 权限 覆盖 前 面 设置 的 权限 。 
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5. 复制 和 移动 对 权限 的 影响 


对 于 NTFS 分 区 上 的 文件 ,从 一 个 文件 夹 复制 或 移动 到 另 一 个 文件 夹 后 ,其 NTFS 
权限 会 发 生变 化 。 如 果 NTFS 分 区 上 的 文件 或 文件 夹 被 复制 或 移动 FAT 分 区 中 ,由 于 
FAT 分 区 没有 权限 设置 ,原来 的 权限 全 部 消失 。 此 操作 要 求 操作 者 必须 拥有 对 目的 文件 
夹 的 写 信 权限。 


6. A-G-DL-P 规则 


A 表示 用 户 贴 ,G 表示 全 局 组 ,DL 表示 本 地 域 组 ,P 表示 资源 权限 。A-G-DL-P 规则 
是 将 用 户 账户 添加 到 全 局 组 中 ,将 全 局 组 添加 到 本 地 域 组 中 ,然后 为 本 地 域 组 分 配 资源 权 
限 。 其 作用 通过 如 下 实例 说 明 。 

网 络 系统 中 存在 两 个 域 stua 和 teacha, stua 域 中 的 用 户 stu001 和 stu002 与 teacha 
域 中 的 用 户 teach001 和 teach002 都 需要 访问 teacha 域 中 的 文件 夹 data, 设 置 的 方法 有 如 
下 两 种 。 

方法 一 : 在 teacha 中 建 一 个 DL, 因 为 DL 的 成 员 可 以 来 自 所 有 的 域 ,可 分 别 把 域 
stua\ 域 teacha 中 的 两 个 用 户 均 加 入 这 个 DL ,并 把 data 的 访问 权限 赋 给 DL。 

这 样 设置 虽然 可 以 实现 访问 权限 的 要 求 ,但 存在 如 下 缺点 : DL 存在 于 teacha 域 中 ， 
其 管理 权 也 在 teacha 域 ,如 果 stua 域 中 还 有 其 他 人 需要 访问 data, stua 域 管理 员 是 无 权 
做 修改 的 ,只 能 通知 teacha 域 管理 员 , 让 其 对 DL 的 成 员 做 修改 。 如 果 需 要 访问 的 data 
域 有 3 个 甚至 更 多 ,怎么 办 ? 全 部 修改 都 要 由 teacha 域 管理 员 来 实现 ,这 种 设置 太 麻 
烦 了 。 

方法 二 : 在 stua 和 teacha 域 都 各 建 一 个 全 局 组 Gstu 和 Gteach, stua 域 管理 员 将 
stu001 和 stu002 加 入 Gstu,teacha 域 管理 员 将 teach001 和 teach002 加 入 Gteach, 然 后 
在 teacha 域 中 建立 一 个 DL ,把 这 两 个 全 局 组 都 加 入 teacha 域 中 的 DL 中 ,然后 把 data 的 
访问 权 赋 给 DL。 

这 样 , 通 过 组 的 权限 继承 ,两 个 全 局 组 都 有 权限 访问 文件 夹 data 了 。 由 于 两 个 全 局 
组 分 布 在 stua 和 teacha 域 中 ,因此 , 域 管理 员 可 以 分 别管 理 自己 的 全 局 组 。 以 后 有 任何 
修改 ,都 可 以 自己 设置 ,不 用 麻烦 teacha 域 的 管理 员 了 。 


444 NIFS 权 限 设置 


设置 NTFS 权限 就 是 对 文件 或 文件 夹 设置 用 户 访问 的 权限 ,包括 设置 文件 权限 、 设 
置 文件 夹 权限 .设置 NTFS 特殊 权限 、 设 置 拒绝 继承 权 、 设 置 强迫 继承 权 等 。 


1. 设置 文件 夹 的 NTFS 权限 


对 于 指定 的 文件 夹 ,只 有 其 拥有 者 、 管 理 员 和 有 完全 控制 权限 的 用 户 才 可 以 设置 其 
NTFS 权限 。 下 面 通过 实例 说 明 这 样 的 用 户 怎样 将 该 文件 夹 的 相关 权限 赋予 其 他 用 户 。 
例如 ,设置 stua 组 的 用 户 stu001 对 文件 夹 C:\tools 拥有 “ 写 入 ”权限 ,详细 操作 步骤 
如 下 。 
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(1) 以 Administrator 账户 登录 系统 ,在 teach. com 域 中 建立 两 个 用 户 , 如 stu001 和 
stu002 及 一 个 组 ,如 stua, 设 置 这 两 个 账户 隶属 于 stua 组 。 在 tools 文件 夹 上 右 击 ,在 快 
捷 菜单 中 选择 “tools 属性 ”命令 ,在 打开 的 “tools 属性 ”对 话 框 中 选择 “安全 ”选项 卡 ,如 
4.11 所 示 。 


图 4.11 “tools 属 性” 对话 框 “安全 ”选项 


(2) 单 击 “ 添 加 ”按钮 ,打开 “选择 用 户 或 组 ”对 话 框 , 单 击 “ 高 级 ”按钮 ,在 打开 的 对 话 
框 中 单 击 “ 立 即 查找 ?按钮 ,如 图 4. 12 所 示 。 在 搜索 结果 文本 框 中 找到 用 户 stu001, 选 择 
该 用 户 , 如 图 4. 13 所 示 , 单 击 “ 确 定 ” 按 钮 ,选择 的 用 户 名 stu001 出 现在 “输入 对 象 名 称 来 
选择 ”列表 框 中 ,如 图 4. 14 所 示 。 


选择 用 户 或 组 


图 4.12 “选择 用 户 或 组 "对话 框 


选择 用 户 或 组 


图 4.14 stu001 出 现在 “输入 对 象 名 称 来 选择 ”列表 框 中 


(3) 单 击 “ 确 定 ” 按 钮 ,返回 “tools 属性 ”对 话 框 ,在 “stu001 的 权限 ”列表 框 中 选中 “ 写 
入 ”选项 对 应 的 “允许 ” 复 选 框 ,如 图 4. 15 所 示 , 单 击 “ 确 定 ” 按 钮 ,完成 权限 的 设置 。 

(4) 注销 Administrator 账户 ,以 stu001 账户 登录 系统 ,在 文件 夹 C:\tools 中 新 建文 
件 , 验 证 设置 是 否 成 功 。 在 文件 夹 C:\tools\remain 中 新 建文 件 ,验证 权限 的 继承 。 


2. 设置 文件 的 NTFS 权限 


对 于 指定 的 文件 ,只 有 其 拥有 者 、 管 理 员 和 有 完全 控制 权限 的 用 户 才 可 以 设置 其 
NTFS 权限 。 例 如 ,设置 stua 组 的 用 户 stu002 对 C:\tools\mylx. txt 文件 拥有 “修改 ” 权 
限 。 详 细 操 作 如 下 。 

(1) 以 Administrator 账户 登录 系统 。 在 mylx. txt 文件 上 右 击 ,在 快捷 菜单 中 选择 
“属性 ”命令 ,在 打开 的 对 话 框 中 选择 “安全 ”选项 卡 ,如 图 4. 16 所 示 。 


stu001 CHINA-TAS33SA1TT\stu001) 
srs 
Users Ca-TA533A1TTVUsers) 


图 4.15 “stu001 的 权限 ”列表 框 图 4.16 “安全 ”选项 卡 


(2) 单 击 “ 添 加 ”按钮 ,打开 “选择 用 户 或 组 ”对 话 框 。 单 击 “ 高 级 "按钮 ,在 打开 的 对 话 
框 中 单 击 “ 立 即 查找 ?按钮 ,如 图 4. 12 所 示 ,在 搜索 结果 文本 框 中 找到 用 户 stu002 ,选择 该 
用 户 。 单 击 “ 确 定 ” 按 钮 ,选择 的 用 户 名 stu002 出 现在 “输入 对 象 名 称 来 选择 ”列表 框 中 ， 
如 图 4. 17 所 示 。 


图 4.17 stu002 出 现在 “输入 对 象 名 称 来 选择 "列表 框 中 


(3) 单 击 “确定 ”按钮 ,返回 “tools 属性 ?对 话 框 ,在 “stu002 的 权限 ”列表 框 中 选中 “ 修 
改 ” 选 项 对 应 的 “允许 ” 复 选 框 ,如 图 4. 18 所 示 , 单 击 “确定 ?按钮 ,完成 权限 的 设置 。 

(4) 注销 Administrator 账户 ,以 stu002 账户 登录 系统 ,对 C:\tools\mylx. txt 文件 
进行 修改 并 保存 ,以 验证 设置 是 否 成 功 。 


3. 设置 NTFS 特殊 权限 


在 特殊 权限 中 有 两 个 较 难 理解 的 权限 : 更 改 权限 和 取得 所 有 权 。 

(1) 更 改 权限 

在 标准 NTFS 权限 中 ,只 有 ”完全 控制 "权限 才 允 许 用 户 拥有 更 改 文件 或 文件 夹 的 权 
限 ,但 是 ,“ 完 全 控制 "权限 同时 拥有 删除 子 文件 夹 或 子 文件 的 权限 。 如 果 要 赋予 一 个 用 户 


i Adaninistrators ICHINA-TA533AITT\VAdninistrators) 
@ :tao0l (CHINA-TAS33MTT\stu001) 

@ 

stsm 

Users CHTNA-TAS33MTT\Vsers) 


图 4.18 “stu002 的 权限 ”列表 框 


更 改 文件 或 文件 夹 的 权限 ,又 不 能 让 其 删除 子 文 件 和 文件 夹 ,这 时 就 要 用 到 特殊 权限 中 的 
“更 改 权 限 ”。 例 如 ,设置 用 户 服务 stu002 对 文件 C:\tools\mylx. txt 拥有 更 改 权 限 。 

详细 的 操作 步骤 是 : 以 Administrator 账户 登录 系统 。 在 图 4. 18 所 示 的 对 话 框 中 单 
击 “ 高 级 "按钮 ,在 打开 的 “mylx. txt 的 高 级 安全 设置 ”对话 框 的 “权限 项 目 ” 列 表 框 中 选择 
用 户 stu002, 如 图 4. 19 所 示 。 然 后 单 击 “ 编 辑 ” 按 钮 ,在 打开 的 “mylx. txt 的 权限 项 目 ” 对 
话 框 的 “权限 ”列表 中 选中 “更 改 权 限 ” 对 应 的 “允许 " 复 选 框 ,如 图 4. 20 所 示 。 单 击 “ 确 定 ” 
按钮 ,返回 到 上 一 级 对 话 框 ,多 次 单 击 “ 确 定 ” 按 钮 ,直到 关闭 全 部 对 话 框 ,完成 权限 的 
设置 。 
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图 4. 19 “mylx. txt 的 高 级 安全 设置 ”对话 框 
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(2) 取得 所 有 权 ylz tzt 的 权限 项 目 

由 于 各 种 指派 和 撤销 权限 操作 可 能 会 造成 
所 有 用 户 ( 包 括 管理 员 ) 都 无 法 访问 某 个 文件 夹 
或 文件 的 情况 。 这 时 就 要 用 到 特殊 权限 中 的 
“取得 所 有 权 ”。 

默认 情况 下 ,文件 夹 或 文件 的 创建 者 ( 即 所 
有 者 ) 拥 有 对 该 文件 夹 或 文件 的 所 有 权 。 取 得 
所 有 权 的 用 户 才能 够 指派 权限 。 取 得 所 有 权 有 
以 下 两 种 方式 。 

文件 夹 或 文件 的 所 有 者 将 “取得 所 有 权 ” 赋 
予 别 的 用 户 。 

管理 员 可 以 取得 所 有 权 ( 但 不 能 转让 所 有 
权 给 别 的 用 户 )。 

如 何 让 管理 员 取 得 所 有 权 呢 ? 以 取得 由 用 图 4.20 “mylx. txt 的 权限 项 目 ” 对 话 框 
户 stu001 创建 的 C:Ntools\stu001_1x. txt 文件 
所 有 权 为 例 , 详 细 步骤 说 明 如 下 。 

@ 以 Administrator 账户 登录 系统 。 在 C:\tools\stu001_lx. txt 上 布 击 ,在 快捷 菜单 
中 选择 “属性 ”命令 ,在 打开 的 对 话 框 中 选择 “安全 ”选项 卡 。 

@ 单 击 “ 高 级 ”按钮 ,在 打开 的 “stu001_1x. txt 的 高 级 安全 设置 "对 话 框 中 选择 “所 有 
者 ”选项 卡 , 可 以 看 到 “目前 该 项 目的 所 有 者 ”文本 框 中 显示 的 所 有 者 为 stu001。 在 “将 所 
有 者 更 改 为 ”列表 框 中 选择 Administrator, 如 图 4. 21 所 示 , 单 击 “ 确 定 ” 按 钮 。 返 回 上 一 
级 对 话 框 , 单 击 “ 确 定 ” 按 钮 ,关闭 所 有 对 话 框 , 即 完成 权限 设置 。 


图 4.21 “stu001_lx. txt 的 高 级 安全 设置 ”对话 框 


@ 重新 查看 该 文件 属性 ,按照 上 述 相同 的 步骤 操作 ,在 打开 的 “stu001_1x. txt 的 高 级 
安全 设置 ”对话 框 中 选择 “所 有 者 ”选项 卡 , 可 以 看 到 “目前 该 项 目的 所 有 者 ”文本 框 中 显示 
的 所 有 者 为 Administrator。 说 明 Administrator 成 功 地 取得 了 该 文件 的 所 有 权 , 如 
图 4. 22 所 示 。 


stu001_1x. txt 的 高 和 


图 4.22 所 有 权 改 变 后 的 “stu001_Ix. txt 的 高 级 安全 设置 ”对话 框 


4. 拒绝 继承 权限 和 强制 继承 权限 


父 文件 夹 拥有 的 权限 默认 被 子 文件 夹 及 包含 在 父 文件 夹 中 的 其 他 文件 继承 。 当 用 户 
修改 文件 夹 的 权限 时 ,同时 改变 了 该 文件 夹 包含 的 子 文件 夹 和 文件 的 权限 。 


<S> |【 素 例 】 利用 AGDIP 规 则 设置 NIFS 权 限 
案例 分 析 


某 公司 的 信息 处 2 人 和 销售 处 3 人 需要 对 alldata 文件 夹 有 读 取 和 写 入 的 权限 ,而 其 
他 人 员 对 该 文件 夹 只 有 读 取 的 权限 。 

根据 公司 的 要 求 ,设计 方案 如 下 。 

(1) 在 安装 Windows Server 2003 R2 EnterPriseEdition 操作 系统 的 计算 机 上 进行 下 
面 的 权限 设置 操作 。 

(2) 创建 2 个 全 局 组 和 1 个 本 地 域 组 。 

(3) 每 个 全 局 组 中 按 人 员 数 创建 用 户 账户 。 

(4) 将 2 个 全 局 组 加 入 本 地 域 组 ( 设 名 为 loca) 。 

(5) 为 本 地 域 组 设置 对 alldata 文件 夹 的 读 取 和 写 入 权限 。 

(6) 创建 其 他 组 织 用 户 账户 ,设置 对 alldata 文件 夹 的 读 取 权限 。 
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操作 步 又 


第 1 步 创建 全 局 组 (info 和 sale) 及 相关 用 户 账户 ,并 将 相关 用 户 加 入 各 全 局 组 。 
第 2 步 创建 本 地 域 级 (loca), 并 将 全 局 组 (info 和 sale) 加 入 本 地 域 组 。 

第 3 步 ”创建 其 他 组 (other) ,并 将 其 他 用 户 加 入 该 组 。 

第 4 步 为 本 地 域 组 (loca) 设 置 对 alldata 文件 夹 的 读 取 和 写 入 权限 。 

第 5 步 为 其 他 组 (other) 设 置 对 alldata 文件 夹 的 读 取 权限 。 


4.5 使 用 审核 资源 


审核 功能 用 于 跟踪 用 户 访问 资源 的 行为 与 Windows Server 2003 的 活动 情况 ,这 些 
行为 或 活动 称 为 事件 ,会 被 记录 到 日 志文 件 内 ,利用 “事件 查看 器 ”可 以 查看 这 些 被 记录 的 
审核 数据 。 建 立 审 核 事 件 是 安全 的 重要 内 容 之 一 。 通 过 监控 对 象 的 创建 和 修改 可 以 追踪 
潜在 的 安全 问题 ,有 助 于 确保 用 户 账户 的 可 用 性 ,并 为 指证 破坏 安全 的 事件 提供 依据 。 


451 审核 事件 


在 Windows Server 2003 中 ,可 以 被 审核 并 记录 在 安全 日 志 中 的 事件 类 型 如 下 。 
(1) 审核 策略 更 改 。 

(2) 审核 登录 事件 。 

(3) 审核 对 象 访问 。 

(4) 审核 过 程 追踪 。 

(5) 审核 目录 服务 访问 。 

(6) 审核 特权 使 用 。 

(7) 审核 系统 事件 。 

(8) 审核 账户 登录 事件 。 

(9) 审核 账户 管理 。 


452 事件 查看 器 


当 Windows Server 2003 系统 有 误 ( 如 网 卡 故 障 ) .用户 登录 /注销 的 行为 或 者 应 用 程 
序 发 出 错误 信息 等 情况 时 , Windows Server 2003 会 将 这 些 事件 记录 到 “事件 日 志文 件 ” 
内 ,可 以 利用 “事件 查看 器 "来 检查 这 些 日 志 , 看 看 到 底 发 生 了 什么 ,以 便 做 进一步 的 处 理 
王 看 

Windows Server 2003 的 事件 日 志文 件 分 为 以 下 4 大 类 。 

(1) 系统 日 志 。Windows Server 2003 会 主动 将 系统 产生 的 错误 (如 显示 故障 ) ,警告 
(如 CPU 的 利用 率 太 高 ) 与 系统 信息 (如 某 个 服务 已 被 启动 了 ) 等 信息 记录 到 系统 日 


FF 
Th 


(2) 安全 日 志 。 它 会 记录 “审核 策略 ”所 设置 的 事件 发 生 情 况 , 如 某 个 用 户 是 否 曾 经 
读 取 过 某 一 个 文件 。 
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(3) 应 用 程序 日 志 。 它 是 由 应 用 程序 将 其 所 产生 的 错误 ,警告 或 信息 等 事件 记录 到 
此 日 志文 件 内 。 如 数据 库 程 序 有 误 时 , 它 可 以 将 此 错误 记录 到 应 用 程序 日 志 内 。 

(4) 目录 服务 日 志 。 它 会 记录 由 Active Directory 所 发 出 的 诊断 或 错误 信息 。 这 个 
日 志 只 存在 于 域 控制 器 内 。 


1. 查看 事件 记录 


可 以 通过 以 下 两 种 方法 来 启动 “事件 查看 器 ”。 

(1) 右 击 “我 的 电脑 ”, 在 快捷 菜单 中 选择 “管理 ”>“ 系 统 工具 ”“ 事 件 查 看 器 "命令 。 

(2) 选择 “开始 ”一 “程序 ”>“ 管 理工 具 ” 一 “事件 查看 器 ”命令 。 

将 出 现 图 4. 23 所 示 的 窗口 ,可 以 查看 其 中 的 “应 用 程序 "“ 安 全 ”"“ 系 统 ” 等 日 志文 
件 。 右 边 窗 格 是 “系统 "日 志文 件 的 记录 信息 ,每 一 行 代表 一 个 事件 , 它 提供 了 以 下 信息 。 


图 4.23 事件 查看 器 


@ 类 型 ,此 事件 的 类 型 ,如 错误 ,警告 .信息 等 。 

@ 日 期 与 时 间 , 此 事件 被 记录 的 日 期 与 时 间 。 

@ 来 源 ,记录 此 事件 的 程序 名 称 。 

@ 分 类 ,产生 此 事件 的 程序 可 能 会 将 其 信息 分 类 ,此 分 类 信息 会 显示 在 这 个 “ 事 
件 2 

@ 事件 ,每 个 事件 都 会 被 赋予 唯一 的 一 个 号 码 , 这 个 号 码 就 是 显示 在 这 个 “事件 ”中 。 

@ 用 户 , 当 事件 发 生 时 ,是 哪个 用 户 正在 使 用 此 计算 机 ,或 者 此 事件 是 由 哪个 用 户 制 

Q@ 计算 机 ,发 生 此 事件 的 计算 机 名 称 。 

若 要 查看 事件 的 详细 信息 ,可 双击 该 事件 或 右 击 该 事件 ,在 快捷 菜单 中 选择 “属性 ? 命 
令 , 打 开 其 属性 对 话 框 查看 ,如 图 4. 24 所 示 。 

如 果 要 清除 某 个 日 志 (系统 安全、 应 用 程序 等 ) 内 的 所 有 事件 , 则 只 要 右 击 该 日 志文 
件 ,在 快捷 菜单 中 选择 “清除 所 有 事件 ”命令 即 可 。 
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2. 设置 日 志文 件 的 大 小 


可 以 针对 每 个 日 志文 件 (系统 、 安 全 、 应 用 程序 等 ) 来 更 改 其 设置 ,例如 ,日 志文 件 容量 
的 大 小 等 。 设置 时 请 选中 该 日 志文 件 名 , 右 击 ,在 快捷 菜单 中 选择 “属性 ”一 “常规 ”命令 ， 
打开 图 4.25 所 示 的 对 话 框 。 


事件 屋 性 


图 4.24 事件 的 详细 信息 图 4.25 安全 日 志 属性 


(1) 最 大 日 志文 件 大 小 。 用 来 设置 该 日 志文 件 的 大 小 ,默认 为 512KB, 可 以 增加 或 减 
少 其 值 ,不 过 日 志文 件 的 大 小 必须 是 64KB 的 倍数 。 

(2) 当 达 到 最 大 的 日 志 尺 寸 时 。 即 当日 志文 件 满载 时 ,应 该 如 何 记录 新 的 事件 。 

(3) 按 需要 改写 事件 。 继 续 记 录 新 的 事件 ,但 是 会 将 旧 的 事件 覆盖 掉 。 

(4) 改写 久 于 X 义 天 的 事件 。 会 将 X 天 前 的 旧事 件 覆 盖 掉 ,以 便 继续 记录 新 的 
事件 。 

(5) 不 改写 事件 。 不 会 继续 记录 新 的 事件 ,此 时 必须 以 手动 方式 清除 日 志文 件 。 

(6) 清除 日 志 。 将 此 日 志文 件 清除 ,如 果 需 要 的 话 , 可 以 在 清除 之 前 先 将 此 数据 存盘 
( 右 击 该 日 志文 件 , 在 快捷 菜单 中 选择 * 另 存 日 志文 件 ” 命 令 保存 ) 。 


3. 筛选 事件 日 志 中 的 事件 


如 果 日 志文 件 内 的 事件 太 多 ,造成 不 易 查找 事件 的 情况 ,可 以 利用 筛选 事件 的 方式 让 
它 只 显示 特定 的 事件 ,设置 时 右 击 该 日 志文 件 ,在 快捷 菜单 中 选择 “属性 ”>“ 筛 选 器 ” 命 
令 ,或 者 右 击 该 日 志文 件 ,在 快捷 菜单 中 选择 “查看 ”> 筛选 ”命令 实现 ,出 现 图 4. 26 所 示 
的 对 话 框 ,从 中 可 以 根据 事件 的 类 型 .事件 来 源 、 产 生 此 事件 的 计算 机 、 事 件 发 生 的 起 始 / 
结束 时 间 等 设置 选择 要 显示 的 事件 。 

若 要 取消 筛选 功能 , 则 可 以 右 击 该 日 志文 件 ,在 快捷 菜单 中 选择 “查看 ”>“ 所 有 记录 ” 
命令 实现 。 


应用 程序 日 志 尾 性 


图 4.26 筛选 事件 日 志 中 的 事件 


4. 存储 日 志文 件 的 格式 


存储 日 志文 件 的 格式 可 以 有 以 下 3 种 。 

(1) 事件 日 志 。 其 扩展 名 为 . evt, 是 “事件 查看 器 "查看 的 默认 日 志 格 式 。 

(2) 文本 (以 制 表 符 分 隔 )。 其 扩展 名 为 . txt, 它 是 将 每 一 条 数据 之 间 利 用 制 表 符 
(Tab) 分 隔 。 以 此 格式 存储 的 文件 ,可 利用 一 般 的 文字 处 理 软件 (如 记事 本 等 ) 查 看 ,也 可 
供电 子 表格 、 数 据 库 等 应 用 程序 来 读 取 、 导 入 。 

(3) CSV( 逗 号 分 隔 )。 其 扩展 名 为 . csv, 是 将 每 一 条 数据 之 间 用 逗号 分 隔 。 以 此 格 
式 存储 的 文件 ,可 利用 一 般 的 文字 处 理 软件 (如 记事 本 等 ) 来 查看 ,也 可 供电 子 表 格 .数据 
库 等 应 用 程序 来 读 取 、 导 入。 


453 使 用 审核 资源 
1. 制定 审核 策略 


审核 策略 是 指 是 否 对 系统 一 些 重要 事件 进行 审核 。 制 定 事件 的 审核 时 需要 综合 考 
虑 ,如 果 审 核 太 多 的 事件 会 造成 系统 开销 太 大 ,审核 太 少 的 事件 有 可 能 不 能 保证 系统 的 安 
全 。 主 要 应 考虑 与 系统 安全 性 密切 相关 的 事件 。 

具体 来 说 ,制定 审核 策略 时 主要 考虑 以 下 问题 。 

(1) 确定 要 审核 的 事件 类 型 

@ 访问 网 络 资源 ,如 文件 .文件 夹 或 打印 机 等 。 

@ 用 户 登 录 和 注销 。 

@ 关闭 和 重新 启动 运行 Windows Server 2003 的 计算 机 。 
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@ 修改 用 户 账户 和 组 。 

(2) 确定 审核 成 功 的 事件 与 审核 失败 的 事件 或 者 两 者 都 审核 

Q@ 账户 管理 : 成 功 、 失 败 。 

@ 登录 事件 : 成 功 、 失 败 。 

@ 对 象 访问 : 失败 。 

@ 策略 更 改 : 成 功 、 失 败 。 

@ 特权 使 用 : 失败 。 

@ 系统 事件 : 成 功 、 失 败 。 

@ 目录 服务 访问 : 失败 。 

@ 账户 登录 事件 : 成 功 、 失 败 。 

(3) 确定 查看 安全 日 志 的 时 间 表 

要 审核 用 户 访问 资源 的 情况 ,必须 经 过 以 下 两 个 步骤 。 

Q@ 设置 审核 策略 。 条 件 是 只 有 具备 Administrator 权限 的 用 户 才能 设置 审核 策略 。 

@ 设置 要 审核 的 资源 。 必 须 具 备 “ 管 理 审核 及 安全 日 志 ” 权 限 的 用 户 才 可 以 审核 资 
源 的 使 用 情况 ,默认 是 只 有 Administrators 组 内 的 成 员 才 有 此 权限 。 可 以 利用 组 策略 内 
的 “用 户 权 利 指派 ”策略 给 予 其 他 用 户 这 个 权限 。 如 果 要 审核 文件 或 文件 夹 的 使 用 情况 ， 
则 这 些 文件 与 文件 夹 必须 位 于 NTFS 磁盘 分 区 内 ,FAT16/FAT32 并 不 支持 审核 的 功 
能 。 另 外 ,最 好 将 事件 日 志 归 档 ,以 便于 以 后 查询 。 

按照 审核 策略 所 记录 的 数据 记录 在 “安全 日 志 ” 内 ,利用 “事件 查看 器 ”查看 此 日 志 。 


2. 审核 策略 的 设置 


审核 策略 的 设置 是 通过 “组 策略 ”或 “本 地 安全 策略 ”进行 的 。 根 据 目 前 正在 使 用 的 计 
算 机 与 设置 的 对 象 决 定 使 用 “组 策略 "或 “本 地 安全 策略 ”。 

另外 ,如 果 在 本 地 计算 机 、 站 点 、 域 与 组 织 单位 内 都 分 别 设置 了 审核 策略 , 则 这 些 审 核 
策略 的 应 用 顺序 如 下 。 

(1) 本 地 审核 策略 (通过 “本 地 安全 策略 "设置 ) 。 

(2) 站 点 的 审核 策略 。 

(3) 域 的 审核 策略 。 

(4) 组 织 单位 (OU) 的 审核 策略 。 

审核 策略 应 用 的 总 原则 是 : 应 用 顺序 在 后 的 审核 策略 会 覆盖 应 用 顺序 在 前 的 审核 策 
略 , 例 如 , 若 在 域 的 审核 策略 与 本 地 审核 策略 的 设置 有 冲突 时 , 则 以 应 用 顺序 在 后 的 域 审 
核 策略 内 的 设置 为 其 最 终 设置 。 


<S> [条例 ]】 在 Wndows Sever 2008 中 审核 启动 和 登录 事件 


案例 分 析 


在 Windows Server 2003 中 ,我 们 可 以 对 事件 进行 审核 ,从 而 发 现 一 些 不 正常 的 安全 
行为 。 


操作 环境 


(1) 一 台 连 上 Internet 的 计算 机 。 
(2) Windows Server 2003 系统 。 


操作 步 又 


第 1 步 登录 并 配置 安全 审核 。 

(1) 以 Administrator 的 身份 登录 。 

(2) 打开 谋 入 式 管理 单元 本 地 安全 策略 。 

(3) 到 “本 地 策略 ”>“ 安 全 审核 "中, 并且 对 下 面 每 一 个 内 容 进 行 配置 。 

@ 账户 登录 事件 审核 : 成 功 ,失败 。 

@ 账户 管理 审核 : 成 功 ,失败 。 

@ 登录 事件 审核 : 成 功 ,失败 。 

图 策略 更 改 审核 : 成 功 ,失败 。 

@ 特权 使 用 审核 : 失败 。 

@@ 系统 事件 审核 : 失败 。 

(4) 从 系统 中 注销 。 

第 2 步 ”审核 登录 事件 。 

(1) 以 Administrator 身份 重复 几 次 失败 登录 。 

(2) 以 Administrator 身份 登录 进入 系统 。 

(3) 打开 事件 查看 器 。 

(4) 在 事件 查看 器 中 ,查看 安全 日 志 窗 口 。 

(5) 搜寻 记录 失败 登录 企图 的 正确 数字 (如 果 需 要 指导 ,可 以 查看 前 面 的 审核 项 
列表 )。 

(6) 注销 ,随后 以 Administrator 注册 进入 系统 ,并 查看 事件 查看 器 。 

(7) 清除 安全 和 系统 日 志 。 

第 3 步 审核 启动 事件 。 

(1) 重新 启动 Windows Server 2003 并 以 Administrator 身份 重新 登录 。 

(2) 打开 事件 查看 器 并 查看 系统 日 志 。 

(3) 按 下 机 器 上 的 电源 按钮 并 保持 5 秒 钟 以 上 ,Windows Server 2003 将 会 突然 
关闭 。 

(4) 打开 事件 查看 器 并 找到 6008 号 事件 。 


4.6 ”Windows Server 2003 的 安全 与 安全 设置 


Windows Server 2003 是 微软 公司 在 Windows 2000 系列 的 基础 上 改进 推出 的 , 它 集 
成 了 功能 强大 的 应 用 程序 环境 ,具有 更 广泛 的 适应 性 和 更 便捷 的 管理 。 
对 于 网 络 系统 管理 员 来 说 ,最 关心 的 事情 莫 过 于 系统 的 安全 。Windows Server 2003 
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作为 微软 公司 最 新 推出 的 服务 器 操作 系统 ,与 Windows 2000/XP 系统 相 比 ,各 方面 的 功 
能 确实 得 到 了 增强 ,尤其 在 安全 性 方面 。 但 任何 事物 都 不 是 十 全 十 美的 , Windows Server 
2003 也 存在 系统 漏洞 和 安全 隐患 。 无 论 用 计算 机 欣赏 音乐 、 上 网 冲浪 、 运 行 游戏 ,还 是 编 
写 文档 都 不 可 能 避免 地 受到 新 病毒 和 恶意 软件 的 威胁 ,如 何 让 Windows Server 2003 更 
加 安全 ,就 成 为 广大 用 户 十 分 关注 的 问题 。 


461 Wndows Server 2008 的 安全 


Windows Server 2003 系统 不 仅 继承 了 Windows 2000/ XP 的 易 用 和 稳定 的 特点 ,还 
提供 了 更 高 的 硬件 支持 和 更 强大 的 安全 功能 ,无 疑 是 中 小 型 网 络 应 用 服务 器 的 首选 。 
Windows Server 2003 系统 提供 的 提高 密码 的 破解 难度 、 启 用 账户 锁定 策略 、 限 制 用 户 登 
录 、 限 制 外 部 连接 .系统 审核 机 制 ,监视 开放 端口 和 连接 ,监视 进程 和 系统 信息 等 安全 策 
略 , 可 确保 网 络 安全 和 服务 器 的 正常 运行 。 


1. 提高 密码 的 破解 难度 


在 Windows Server 2003 中 ,可 以 通过 在 安全 策略 中 设 定 “密码 策略 "来 提高 密码 的 
破解 难度 。Windows Server 2003 系统 的 安全 策略 可 以 根据 网 络 的 情况 ,针对 不 同 的 场 
合 和 范围 进行 有 针对 性 的 设 定 。 例 如 ,可 以 针对 本 地 计算 机 、 域 及 相应 的 组 织 单元 进行 设 
定 ,这 将 取决 于 该 策略 要 影响 的 范围 。 以 域 安 全 策略 为 例 , 其 作用 范围 是 网 中 所 指定 域 的 
所 有 成 员 。 在 域 管理 工具 中 运行 “ 域 安全 策略 "工具 ,就 可 以 针对 密码 策略 进行 相应 的 设 
定 。 密 码 策略 也 可 以 在 指定 的 计算 机 上 用 “本 地 安全 策略 ”来 设 定 ,同时 也 可 在 网 络 中 特 
定 的 组 织 单元 通过 组 策略 来 设 定 。 


2. 启用 账户 锁定 策略 


Windows Server 2003 系统 的 账户 锁定 是 指 在 某 些 情况 下 (如 账户 受到 采用 密码 词 
典 或 暴力 猜 解 方式 的 攻击 ) ,为 保护 该 账户 的 安全 而 将 其 进行 锁定 ,使 其 在 一 定 的 时 间 内 
不 能 再 次 使 用 。 默 认 情 况 下 并 没有 设 定 这 种 锁定 策略 ,用 户 可 根据 情况 自行 设置 账户 锁 
定 。 一 般 设 定 如 果 3 次 登录 全 部 失败 ,系统 就 会 锁定 该 账户 。 一 旦 该 账户 被 锁定 后 , 既 使 
合法 用 户 也 无 法 使 用 了 ,只 有 系统 管理 员 才 能 重新 启用 该 项 账户 。 为 方便 用 户 , 可 以 同时 
设 定 锁定 的 时 间 , 这 样 从 开始 锁定 账户 时 进行 计时 , 当 锁 定时 间 超 过 该 时 间 后 自动 解锁 。 
虽然 该 项 设置 会 给 用 户 造成 一 些 不 便 , 但 它 可 以 有 效 地 避免 自动 猜 解 工具 的 攻击 。“ 步 ” 
是 指定 账户 锁定 的 国 值 , 即 确定 该 账户 无 效 登 录 的 次 数 。 一 般 设 定 该 数值 为 3。 


3. 限制 用 户 登 录 


用 户 还 可 以 通过 对 登录 行为 进行 限制 来 保障 其 账户 的 安全 。 这 样 即使 密码 被 泄露 , 
系统 也 可 以 在 一 定 程 度 上 阻止 黑客 的 人 侵 。Windows Server 2003 网 络 用 户 可 运行 
“Active Directory 用 户 和 计算 机 ”管理 工具 ,选择 相应 的 用 户 并 设置 其 “账户 属性 ”。 在 
“账户 属性 ”设置 中 可 对 其 登录 时 间 和 地 点 进行 限制 。 另 外 ,还 可 以 通过 “账户 ”选项 限制 
登录 时 的 行为 ,如 使 用 “用 户 必须 用 智能 卡 登录 ”就 可 避免 直接 使 用 密码 验证 。 此 外 ,还 可 


以 引入 指纹 验证 等 更 严格 的 手段 。 
4. 限制 外 部 连接 


对 于 企业 网 络 来 说 ,通常 需要 为 一 些 远程 拨号 用 户 ( 业 务 人 员 或 客户 ) 提 供 拨号 接 人 
服务 。 远 程 拨号 访问 技术 实际 上 是 通过 低速 拨号 连接 将 远程 计算 机 接 人 企业 内 部 网 。 由 
F 该 连接 无 法 隐藏 ,因此 ,常常 成 为 黑客 人 侵 企业 内 部 网 的 最 佳人 口 ,但 采取 一 定 的 措施 
可 以 有 效 地 降低 此 风险 。 基 于 Windows Server 2003 的 远程 访问 服务 器 ,默认 情况 下 将 
允许 具有 拨 和 人 权限 的 所 有 用 户 建 立 连接 ,因此 ,如 果 合 理 地 设置 用 户 账户 的 拨 入 权限 , 严 
格 限制 氢 入 权限 的 分 配 范围 , 即 可 较 好 地 限制 外 部 连接 。 在 Windows Server 2003 系统 
中 ,如 果 活 动 目录 工作 在 Native-mode( 本 机 模式 ) 下 ,就 可 以 通过 存储 在 访问 服务 器 上 或 
Internet 验证 服务 器 上 的 远程 访问 策略 来 进行 管理 。 


5. 限制 特权 组 成 员 


Windows Server 2003 系统 还 有 一 种 非常 有 效 的 防范 黑客 人 侵 和 管理 疏忽 的 辅助 手 
段 , 这 就 是 “ 受 限制 的 组 "安全 策略 。 该 策略 可 保证 组 成 员 是 固定 的 。 在 域 安全 策略 的 管 
理工 具 中 添加 要 限制 的 组 ,在 “组 "对话 框 中 输入 或 查找 要 添加 的 组 ,然后 配置 该 受 限 制 的 
组 成 员 , 当 安全 策略 生效 后 ,可 防止 黑客 将 后 门 帐 户 添加 到 该 组 中 。 


6. 启用 系统 审核 机 制 


系统 审核 机 制 可 以 对 系统 中 的 各 类 事件 进行 跟踪 记录 并 写 入 日 志文 件 ,以 供 管理 员 
分 析 、 查 找 系统 和 应 用 程序 故障 及 各 类 安全 事件 ,对 Windows Server 2003 系统 的 服务 器 
和 工作 站 系统 来 说 ,为 了 不 影响 系统 的 性 能 ,默认 的 安全 策略 并 不 对 安全 事件 进行 审核 。 
从 “安全 配置 和 分 析 ” 工 具 用 SecEdit 安全 模板 进行 的 分 析 结 果 可 见 ,这 些 有 特殊 标记 的 
审核 策略 应 该 已 经 启用 ,这 可 用 来 发 现 来 自 外 部 和 内 部 的 黑客 的 人 侵 行为 。 对 于 关键 的 
应 用 服务 器 和 文件 服务 器 来 说 ,应 同时 启用 共同 的 安全 策略 。 如 果 已 经 启用 了 “审核 对 象 
访问 ?策略 ,那么 就 要 求 必须 使 用 NTFS 文件 系统 。NTFS 文件 系统 不 仅 提 供 对 用 户 的 
访问 控制 ,还 可 以 对 用 户 的 访问 操作 进行 审核 。 但 这 种 审核 功能 需要 针对 具体 的 对 象 来 
进行 相应 的 配置 。 

在 被 审核 对 象 “安全 ”属性 的 “高 级 ”属性 中 添加 要 审核 的 用 户 和 组 ,选择 要 审核 的 用 
户 后 ,就 可 以 设置 对 其 进行 审核 的 事件 和 结果 。 在 所 有 的 审核 策略 生效 后 ,就 可 以 通过 检 
查 系统 的 日 志 来 发 现 黑客 的 蛛丝马迹 。 


7. 监视 开放 的 端口 和 连接 


在 系统 中 启用 安全 审核 策略 后 ,系统 管理 员 应 经 常 看 安全 日 志 记 录 , 和 否则 就 失去 了 及 
时 补救 和 防御 的 时 机 。 对 日 志 的 监视 只 能 发 现 已 经 发 生 的 人 侵 事件 ,对 正 进行 的 入侵 和 
破坏 行为 却 无 能 为 力 。 这 时 ,就 需要 系统 管理 员 来 掌握 一 些 基 本 的 实时 监视 技术 。 

黑客 或 病毒 人 侵 系 统 后 通常 会 在 系统 中 留 下 后 门 , 同 时 会 与 外 界 建立 一 个 Socket 会 
话 连 接 进 行 通信 ,这 时 利用 netstat 命令 进行 会 话 状态 的 检查 就 可 能 发 现 它 , 在 这 里 就 可 
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以 查看 已 经 打开 的 端口 和 已 经 建立 的 连接 。 当 然 可 以 采用 一 些 专用 的 检测 程序 对 端口 和 
连接 进行 检测 。 


8. 监视 共享 


黑客 通过 共享 入 侵 系统 是 很 方便 的 ,最 简单 的 就 是 利用 系统 隐 含 的 管理 共享 。 因 此 ， 
只 要 黑客 能 扫描 到 用 户 的 IP 和 密码 ,就 可 使 用 netuse 命令 连接 到 共享 上 ,另外 , 当 发 现 
含有 恶意 脚本 的 网 页 时 ,此 时 计算 机 硬盘 也 就 可 能 被 共享 ,因此 ,监测 本 机 的 共享 连接 是 
非常 重要 的 。 监 测 本 机 共享 连接 的 具体 方法 为 : 在 Windows Server 2003 系统 中 ,打开 
“计算 机 管理 "工具 ,并 展开 “共享 文件 夹 ”选项 ,选择 其 中 的 “共享 "选项 就 可 以 查看 其 右面 
窗口 ,以 检查 是 否 有 新 的 可 疑 共享 。 如 果 有 可 疑 共享 ,就 应 该 立即 删除 。 另 外 ,还 可 以 通 
过 选择 会话? 选项 ,来 查看 连接 到 计算 机 上 所 有 共享 的 会 话 。 


9. 监视 进程 和 系统 信息 


对 于 木马 和 远程 监控 程序 ,除了 监视 开放 的 端口 外 ,还 应 通过 任务 管理 器 的 进程 查看 
功能 来 查看 进程 ,在 安装 Windows Server 2003 系统 支持 工具 后 就 可 以 获得 一 个 进程 查 
看 工具 Process Viewer。 隐 藏 的 进程 通常 寄宿 在 其 他 进程 下 ,因此 ,查看 进程 的 内 存 映 像 
也 许 能 发 现 异常 。 有 些 木马 会 把 自己 注册 成 一 个 服务 ,从 而 可 避免 在 进程 列表 中 现形 , 因 
此 ,人 们 还 应 该 加 强 对 系统 中 其 他 信息 的 监视 ,对 系统 信息 中 的 软件 环境 下 的 各 项 内 容 进 
行 相应 的 检查 。 


462 ”Wndows Server 2008 的 安全 设置 
下 面 介绍 一 些 Windows Server 2003 系统 常用 的 安全 操作 和 设置 。 
1. 清除 默认 共享 隐患 


使 用 Windows Server 2003 系统 在 默认 安装 时 ,会 产生 默认 的 共享 文件 来。 虽然 用 
户 并 没有 设置 共享 ,但 每 个 盘 符 都 被 Windows 自动 设置 了 共享 ,其 共享 名 为 盘 符 后 面 加 
一 个 符号 $ (共享 名 为 c$ 、d$ ,ipc$ 等 ) ,这 样 一 来 ,只 要 攻击 者 知道 了 该 系统 的 管理 员 
密码 ,就 有 可 能 通过 输入 “*\\ 工 作 站 \ 点 共享 名 \ 共 享 名 称 ” 来 打开 系统 的 指定 文件 夹 ,用 户 
精心 设置 的 安全 防范 就 不 安全 了 。 因 此 ,应 将 Windows Server 2003 系统 默认 的 共享 隐 
患 从 系统 中 清除 。 具 体 可 采用 以 下 步骤 。 

(1) 选择 “开始 ”>“ 运 行 "命令 ,在 出 现 的 对 话 框 中 输入 “gpedit. msc”, 确 认 后 即 可 打 
开 组 策略 编辑 器 。 

(2) 选择 “用 户 配置 "一 “Windows 设置 "一 “脚本 (登录 /注销 )” 一 “登录 ?命令 ,如 
图 4. 27 所 示 。 

(3) 双击 “登录 ”图 标 ,在 出 现 的 “登录 属性 ”对 话 框 中 单 击 “ 添 加 ”按钮 。 

(4) 在 出 现 的 “添加 脚本 ”对 话 框 的 “脚本 名 ”文本 框 中 输入 delshare. bat, 单 击 “ 确 
定 ” 按 钮 即 可 ,如 图 4. 28 所 示 。 

(5) 重新 启动 计算 机 。 
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图 4.27 组 策略 编辑 器 


图 4. 28 清除 默认 共享 


这 样 就 可 以 自动 将 系统 所 有 的 隐藏 共享 文件 夹 全 部 取消 ,从 而 将 系统 安全 隐患 降 到 
最 低 限 度 。 


2. 禁止 非法 访问 应 用 程序 
Windows Server 2003 是 一 种 服务 器 操作 系统 。 为 了 防止 非法 用 户 登 录 到 系统 中 并 
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随意 启动 服务 器 中 的 应 用 程序 ,给 服务 器 的 正常 运行 带 来 不 必要 的 麻烦 ,可 根据 不 同 用 户 
的 访问 权限 来 限制 其 调用 应 用 程序 的 操作 。 实 际 上 ,我们 只 要 使 用 组 策略 编辑 器 作 进 一 
步 的 设置 , 即 可 实现 这 一 目的 ,具体 步骤 如 下 。 

(1) 打开 “组 策略 编辑 器 ”窗口 ,然后 选择 “本 地 计算 机 ”策略 ”一 “用户 配置 "管理 
模板 ?一 “系统 选项 ,如 图 4. 29 所 示 。 
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图 4.29 组 策略 编辑 器 中 的 系统 设置 


(2) 双击 “只 运行 许可 的 Windows 应 用 程序 ”, 在 “设置 "中 选择 “已 启用 ”。 
(3) 单 击 “ 允 许 的 应 用 程序 列表 ” 旁 的 “显示 ”按钮 ,弹出 “显示 内 容 ” 对 话 框 。 
(4) 单 击 “ 添 加 "按钮 来 添加 允许 运行 的 应 用 程序 ,如 图 4. 30 所 示 。 

这 样 操作 后 一 般 用 户 只 能 运行 “允许 的 应 用 程序 列表 ”中 列 出 的 程序 。 


3. 禁用 IPC 连接 


IPC $ (Internet process connection) 是 共享 “命名 管道 ”的 资源 , 它 是 为 了 使 进程 间 通 
信和 而 开放 的 命名 管理 。 通 过 提供 可 信任 的 用 户 名 和 口令 ,连接 双方 计算 机 即 可 建立 安全 
的 通道 ,并 以 此 通道 进行 加 密 数 据 的 交换 ,从 而 实现 对 远程 计算 机 的 访问 。 它 是 
Windows NT/2000/Server 2003 特有 的 功能 。 但 它 有 一 个 特点 , 即 在 同一 时 间 内 ,两 个 
IP 之 间 只 允许 建立 一 个 连接 。 系 统 在 提供 了 IPC $ 功能 的 同时 ,在 初次 安装 系统 时 还 打 
开 了 默认 共享 , 即 所 有 的 逻辑 共享 (c$.d$.e$ 等 ) 和 系统 目录 windows(admin $ ) 共享 
这 虽然 为 系统 管理 员 的 管理 提供 方便 ,但 也 为 IPC 入侵 者 提供 了 方便 条 件 ,导致 系统 的 
安全 性 能 降低 ,因此 ,为 了 安全 起 见 ,应 禁用 IPC 连接 。 可 以 通过 修改 注册 表 来 实现 禁用 
IPC 连接 。 
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图 4.30 “添加 项 目 ” 对 话 框 


4. 清空 远程 可 访问 的 注册 表 路 径 


Windows Server 2003 系统 提供 了 注册 表 的 远程 访问 功能 ,只 有 将 远程 可 访问 的 注 
册 表 路 径 设 置 为 空 ,才能 有 效 地 防止 黑客 利用 扫描 通过 远程 注册 表 读 取 计 算 机 的 系统 信 
息 。 设 置 远程 可 访问 注册 表 路 径 为 空 的 步骤 如 下 。 

(1) 打开 组 策略 编辑 器 ,展开 “计算 机 配置 ">“Windows 设置 ">“ 安 全 设置 ">“ 本 地 
策略 ”选项 。 

(2) 单 击 “安全 选项 ,双击 右 侧 窗口 中 的 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 ” 
选项 。 

(3) 在 打开 的 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 属性 ”窗口 中 ,将 可 远程 访问 的 
注册 表 路 径 和 子路 径 内 容 全 部 设置 为 空 ,再 单 击 “确定 ”按钮 即 可 。 

另外 ,在 进行 安全 设置 时 ,对 图 4. 31 所 示 的 本 地 策略 的 安全 选项 设置 可 以 考虑 将 “网 
络 访问 : 可 匿名 访问 的 共享 >“ 网 络 访问 : 可 匿名 访问 的 命名 管道 "和 “网 络 访问 : 可 远程 
访问 的 注册 表 路 径 和 子路 径 ” 三 项 全 部 删除 ;将 “不 允许 SAM 账户 的 匿名 枚 举 ”“ 不 允许 
SAM 账户 和 共享 的 匿名 枚 举 ” “网络 访问 : 不 允许 存储 网 络 身 份 验证 的 凭据 或 
. NETPassports” 和 “网 络 访问 : 限制 匿名 访问 命名 管道 和 共享 ”四 项 更 改 为 “已 启用 ”。 


5. 关闭 不 必要 的 端口 和 服务 


对 于 个 人 用 户 来 说 ,系统 安装 过 程 中 默认 的 有 些 端口 没有 什么 用 ,应 该 关 掉 这 些 端 
口 , 即 关闭 无 用 的 服务 。 


图 4.31 进入 远程 可 访问 的 注册 表 路 径 


(1) 关闭 139 端口 

139 端口 是 NetBIOS 协议 所 使 用 的 会 话 服务 端口 ,在 安装 了 TCP/IP 协议 的 同时 ， 
NetBIOS 也 会 被 作为 默认 设置 安装 到 系统 中 。 该 端口 的 开放 意味 着 硬盘 可 能 会 在 网 络 
中 共享 ,网 上 黑客 可 通过 NetBIOS 了 解 用 户 计算 机 中 的 一 切 。 在 以 前 的 Windows 版 本 
中 ,只 要 不 安装 微软 网 络 的 文件 和 打印 共享 协议 ,就 可 关闭 139 端口 。 但 在 Windows 
Server 2003 系统 中 ,要 单独 进行 关闭 139 端口 的 操作 才 行 。 关 闭 139 端口 的 具体 步骤 
如 下 。 

@ 右 击 “网 络 邻 居 ”, 在 快捷 菜单 中 选择 “属性 "命令, 进入“ 网络 和 拨号 连接 ”。 

@ 右 击 “本 地 连接 ”, 在 快捷 菜单 中 选择 “属性 "命令 ,打开 “本 地 连接 属性 ”页 面 。 

@ 取消 选中 “Microsoft 网 络 的 文件 和 打印 共享 " 复 选 框 ,如 图 4. 32 所 示 。 

@ 选中 “Internet 协议 (TCP/IP)” 复 选 框 ,依次 单 击 “ 属 性 ”一 “高 级 ”>“WINS”, 选 
中 “禁用 TCP/IP 上 的 NetBIOS ” 单 选 按 钮 , 即 可 完成 任务 ,如 图 4. 33 所 示 。 

(2) 关闭 445 端口 

445 端口 是 一 把 “ 双 刃 侠 ”, 有 了 它 用 户 可 以 在 局 域 网 中 轻松 访问 各 种 共享 文件 夹 或 
共享 打印 机 ,但 也 正 是 因为 有 了 它 ,黑客 们 才 有 了 可 乘 之 机 。 他 们 可 通过 该 端口 偷偷 共享 
用 户 的 硬盘 ,甚至 会 在 悄 无 声息 中 将 用 户 的 硬盘 格式 化 。 用 户 要 做 的 就 是 想 办 法 不 让 黑 
客 有 机 可 乘 , 封 堵 住 445 端口 的 漏洞 ,办 法 是 : 


HEEY IOCRL MACHINE\ Systen\CurrentControlSet\ Services\NetBT\ Parameters 


右 击 Parameters 选项 ,在 快捷 菜单 中 选择 “新 建 "*>“DWORD 值 " 命 令 , 将 DWORD 值 命 
名 为 SMBDeviceEnabled ,数值 为 0。 


图 4.32 网 络 的 文件 和 打印 共享 


图 4.33 禁用 TCP/IP 上 的 NetBIOS 


(3) 关闭 135 端口 

关闭 135 端口 的 步骤 如 下 。 

名 选择 “开始 ”>“ 运 行 " 命 令 , 在 出 现 的 对 话 框 中 输入 dcomcnfg, 单 击 “ 确 定 ” 按 钮 ， 
打开 组 件 服务 。 

@ 在 “组 件 服务 ”窗口 选择 “计算 机 ”选项 ,如 图 4. 34 所 示 。 在 “计算 机 ?选项 中 , 右 击 
“我 的 电脑 ”, 在 出 现 的 对 话 框 中 选择 “属性 ”命令 。 


图 4.34 组 件 服务 


@ 在 出 现 的 “我 的 电脑 属性 ”对 话 框 的 “默认 属性 ”选项 卡 中 ,取消 选中 “在 此 计算 机 
上 启用 分 布 式 COM" 复 选 框 ,如 图 4. 35 所 示 。 

@ 选择 “默认 协议 ”选项 卡 ,选中 “面向 连接 的 TCP/IP” 选 项 , 单 击 “ 移 除 ”按钮 。 

@ 单 击 “ 确 定 ” 按 钮 ,设置 完成 ,如 图 4. 36 所 示 。 


我 的 电脑 屋 性 


图 4.35 “我 的 电脑 属性 ”对 话 框 图 4.36 移 除 协议 


重新 启动 之 后 即 可 关闭 135 端口 。 

(4) 关闭 自动 播放 服务 

自动 播放 功能 不 仅 对 光驱 起 作用 ,对 其 他 驱动 也 起 作用 ,这 样 很 容易 被 黑客 利用 来 执 
行 黑 客 程序 ,因此 ,可 以 考虑 关闭 该 服务 。 关 闭 自动 播放 服务 的 操作 如 下 。 

QO@ 打开 组 策略 编辑 器 ,依次 展开 “计算 机 配置 ">“ 管 理 模 板 ”>“ 系 统 ”。 

@ 双击 右 侧 窗口 中 的 “关闭 自动 播放 ”选项 。 

@ 在 打开 的 对 话 框 中 选择 “已 启用 ”, 然 后 在 “关闭 自动 播放 ”后 面 的 下 拉 菜 单 中 选择 
“所 有 驱动器" 选项, 单 击 “ 确 定 ” 按 钮 即 可 生效 。 
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另外 ,打开 “本 地 连接 ”的 Windows Server 2003 自 带 的 防火 墙 ,可 以 屏蔽 端口 ,基本 
可 达到 IPSec 的 功能 。 例 如 ,只 保留 远程 桌面 服务 器 端口 3389、Web 服务 器 端口 80 FTP 
服务 器 端口 21、 邮 件 服务 器 端口 25、POP3 服务 器 端口 110、 网 页 浏览 端口 443 和 SQL 监 
听 端 口 1433 等 有 用 的 端口 ,将 其 余 端口 屏蔽 掉 。 

把 不 必要 的 服务 都 禁止 ,尽管 这 些 不 一 定 能 被 攻击 者 利用 得 上 ,但 是 从 安全 规则 和 标 
准 看 ,多 余 的 东西 就 没有 必要 开启 ,这 样 还 可 减少 一 份 安全 隐患 。 对 于 个 人 用 户 而 言 , 可 
以 在 各 项 服务 属性 设置 中 将 要 关闭 的 服务 设 为 “禁用 ” ,这样 在 下 次 重启 服务 后 不 需要 的 
服务 就 关闭 了 。 

Windows Server 2003 系统 中 还 可 以 关闭 如 下 不 常用 的 服务 。 

。 Compnuter Browser( 维 护 网 络 上 计算 机 的 最 新 列表 及 提供 这 个 列表 ) 。 

。 Task scheduler( 人 允许 程序 在 指定 时 间 运 行 ) 。 

。 Messager( 传 输 客户 端 和 服务 器 之 间 的 NET SEND 和 警报 器 服务 消息 ) 。 

。 Distributed File System( 局 域 网 管理 共享 文件 ) 。 

。 Distributed linktracking client( 用 于 局 域 网 更 新 连接 信息 ) 。 

。 Error reporting service( 发 送 错误 报告 

。 Microsoft Search( 提 供 快速 的 单词 搜索 )。 

。 PrintSpooler( 如 果 没 有 打印 机 可 禁用 )。 

。 Remote Registry( 远 程 修改 注册 表 ) 。 

。 Remote Desktop Help Session Manager( 远 程 协助 ) 。 


6. 删除 不 安全 的 组 件 


一 些 ASP 木马 或 一 些 恶意 程序 都 会 使 用 到 WScript. Shellt 和 Shell. application 这 
两 个 组 件 , 采 用 如 下 方法 可 删除 或 卸载 这 两 个 组 件 : 删除 注册 表 LHKEY_CLASSES_ 
ROOT\CLSID\ {72C24DD5-D70A-438B-8A42-98424B88AFB8})] 对 应 的 WScript. Shell; 
删除 注册 表 [HKEY _ CLASSES _ ROOT \ CLSID \ {13709620-C279-11CE-A49E- 
444553540000) 门 对 应 的 Shell. application; 利 用 regsvr32/u wshom. ocx 印 载 WScript, 
Shell 组 件 ;利用 regsvr32/u shell32. dll 印 载 Shell. application 组 件 。 


7. 账户 锁定 设置 


锁定 策略 是 一 项 Active Directory 安全 功能 。 在 指定 时 间 段 内 ,如 果 登 录 尝 试 
eda 它 会 锁定 用 户 账户 并 禁止 登录 。 人 允许 尝试 的 次 数 和 时 间 段 基于 
为 账户 锁定 设置 的 值 。 账 户 锁定 策略 还 可 以 指定 锁定 期 限 。 账 户 锁定 设置 有 助 于 防止 攻 
击 者 猜测 用 户 密码 ,并 且 会 降低 对 网 络 环境 攻击 成 功 的 可 能 性 。 

选择 “开始 ”一 “运行 ”命令 ,在 出 现 的 对 话 框 中 输入 secpol. msc, 打 开本 地 安全 设置 界 
面 ,选择 “账户 锁定 策略 ”, 如 图 4. 37 所 示 。 双 击 账户 锁 定 阔 值 ,在 出 现 的 对 话 框 中 输入 允 
许 尝试 的 最 大 登录 次 数 , 确 认 即 可 。 


| 《六 【计算 机 网 络 安 全 技 机 例 数 和 | 


向 本 地 安全 设置 
文件 中” 操作) 查看 如) 玫 助 中 
| 名画 |X 多 | 多国 


由 - 回 软件 限制 策略 
由 轧 IT 安全 策略 ,在 本 地 计算 机 


图 4.37 账户 锁定 策略 


本 章 小 结 


操作 系统 是 信息 系统 最 基本 、 最 关键 的 系统 软件 , 它 为 用 户 及 其 应 用 程序 和 硬件 之 间 
提供 了 一 个 接口 ,可 对 计算 机 进行 有 效 、 合 理 使 用 ,并 对 资源 进行 管理 和 保护 。 

操作 系统 的 安全 表现 在 系统 安全 、 用 户 安全 、 资 源 安全 和 通信 安全 等 方面 ,其 保证 机 
制 就 是 用 户 身份 验证 ,授权 访问 和 审计 。 

本 章 主 要 讲述 了 操作 系统 的 安全 性 及 安全 配置 Windows Server 2003 中 的 用 户 管 
理 及 其 策略 、Windows Server 2003 中 的 文件 访问 权限 及 其 策略 、Windows Server 2003 
中 的 资源 审计 及 基本 安全 应 用 。 


本 章 练 习 

一 、 填空 题 

1. 操作 系统 安全 主要 包括 、 、 号 4 个 方面 的 
安全 。 

2. 操作 系统 的 安全 机 制 主要 有 机 制 、 机 制 和 机 制 。 

3. 安全 策略 的 目标 是 

4. 安全 策略 主要 包括 策略 、 策略 和 策略 。 

5.Windows Server 2003 的 事件 日 志文 件 分 为 、 

4 大 类 。 

-、 选 择 题 

1. 在 Windows Server 2003 系统 中 代表 一 个 用 户 .组 或 计算 机 的 符号 是 。 


A. AT B. SAD C. ACL D. SID 
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2. 在 Windows Server 2003 系统 中 要 改变 一 个 本 地 账户 密码 , 则 应 2 
A. 在 用 户 管理 嵌入 式 单元 右 击 账户 
B. 在 本 地 安全 嵌 人 式 单元 右 击 账户 
C. 在 本 地 安全 策略 嵌入 式 单元 右 击 账户 
D. 在 本 地 用 户 和 组 中 , 右 击 账户 


3. 为 了 设置 基于 用 户 的 本 地 文件 权限 ,必须 采用 文件 系统 。 
A. FAT B. NTFS Cc. UD D. GID 
4. 没有 启用 NTFS 之 前 ,下 面 功能 不 能 用 。 
A. 日 志 T B. 删除 文件 C. 审核 D. 建立 用 户 共享 
5. 在 Windows Server 2003 系统 事件 查看 器 中 ,6007 号 事件 意味 着 o 
A. 一 次 不 成 功 的 登录 B. 关机 事件 
C. 一 个 不 正当 的 关闭 事件 D. 一 个 错误 的 服务 
三 、 简 答题 
1. 如 何 衡量 操作 系统 的 安全 性 ? 
2. 操作 系统 的 安全 机 制 有 哪些 ? 
3. 为 什么 要 制定 操作 系统 的 安全 策略 ? 
4. 用 户 管理 的 主要 任务 是 什么 ? 
5. 用 户 账 户 管理 的 基本 内 容 是 什么 ? 
6. 说 出 组 的 概念 及 其 特点 。 
7，Windows Server 2003 中 NTFS 权限 的 有 效 权 限 规 则 是 什么 ? 
8. Windows Server 2003 中 审核 资源 的 基本 方法 有 哪些 ? 
9. 如 何 安全 配置 Windows Server 2003? 


实 训 ”网 络 用 户 规划 与 管理 


实 训 目 的 


(1) 规划 用 户 账户 和 组 账户 用 户 : 账户 和 组 账户 的 命名 ;用 户 账户 密码 要 求 登录 时 
间 与 站 点 限制 \ 主 文件 夹 的 位 置 及 配置 文件 的 设置 ;组 账户 的 类 型 和 成 员 范围 及 计算 机 
位 置 。 

(2) 千 握 用 户 账户 的 管理 和 内 置 用 户 账户 的 使 用 。 

(3) 掌握 用 户 账户 的 安全 策略 设置 。 

(4) 洁 握 组 账户 的 管理 和 内 置 组 账户 的 使 用 。 


实 训 环境 


一 台 装 有 Windows Server 2003 的 计算 机 。 


| Co 人 | 


实 训 步 又 


第 1 步 ”规划 组 和 用 户 账户 。 

假设 某 公 司 的 组 织 机 构 如 图 4. 38 所 示 。 其 中 ,销售 部 有 部 门 经 理 Mana-SA 和 5 个 
销售 员 , 所 有 人 员 全 天 可 以 访问 域 控 制 器 DOM1 。 

会 计 部 有 部 门 经 理 Mana-AC 和 3 个 财会 人 
员 , 除 部 门 经 理 外 ,其 他 财会 人 员 只 能 在 上 午 8:00 
到 下 午 5:00 访问 数据 库 服务 器 AC-DB。 而 且 规 [Sa | [Aeeount | [Maintain 
定 在 站 点 为 ACWS1 ~ ACWS4 的 4 台 计 算 机 图 4.38 ” 某 公 司 组 织 机 构 
登录 。 

维护 部 有 部 门 经 理 Mana-MA 和 4 个 维护 人 员 。 有 两 个 维护 员 在 7:00 到 18:59 登 
录 , 另 两 个 维护 员 在 19:00 到 6:59 登录 。 只 有 部 门 经 理 可 以 备份 数据 。 

请 规划 组 和 每 个 组 的 成 员 用 户 账户 做 出 规划 表 , 并 就 组 和 用 户 账户 的 安全 提出 有 关 
密码 和 访问 敏感 数据 的 要 求 。 

第 2 步 ” 对 组 和 用 户 账户 的 创建 ,修改 或 删除 。 

按照 规划 表 的 要 求 , 请 完成 如 下 操作 。 

(1) 创建 全 局 组 Sales、Account、Maintain 组 和 本 地 组 SA-users 和 ACC-users。 

(2) 创建 各 组 员 的 用 户 账户 和 用 户 Manager。 

(3) 把 销售 部 的 成 员 用 户 账户 添加 到 Sales 组 ,然后 把 全 局 组 Sales 添加 到 SA-users 
组 , 按 要 求 在 域 控制 器 DOM1 上 给 他 们 建立 用 户 的 主 文件 夹 。 

(4) 把 会 计 部 的 成 员 账 户 添加 到 全 局 组 Account, 并 把 该 全 局 组 添加 到 本 地 组 ACC- 
users 中 ,在 数据 库 服 务 器 上 建立 用 户 的 主 文件 夹 。 

(5) 将 维护 部 的 成 员 用 户 账户 添加 到 内 置 组 Users 和 Power Users。 

(6) 将 用 户 Manager 添加 到 内 置 组 Administrators。 

(7) 将 维护 部 经 理 的 用 户 账户 加 入 Backup 组 。 

(8) 修改 销售 部 其 中 一 个 成 员 的 用 户 账户 ,使 其 为 临时 人 员 , 并 设置 其 账户 过 期 时 间 。 

(9) 删除 一 个 维护 部 人 员 的 用 户 账户 。 

第 3 步 设置 用 户 账户 策略 。 

(1) 设置 用 户 账户 的 密码 策略 

@ 最 小 密码 长 度 : 7。 

@ 密码 最 长 存留 期 : 10 天 。 

@ 必须 符合 安装 的 密码 筛选 器 的 复杂 性 要 求 : 启用 。 

@ 用 户 必须 登录 以 后 更 改 密码 。 

@ 强制 密码 历史 : 5 次 。 

(2) 设置 用 户 账户 策略 

@ 账户 锁定 阔 值 : 3 次 。 

@ 账户 锁定 时 间 : 20 分 钟 。 

@ 复位 锁定 计数 : 20 分 钟 。 


Manager 


知识 目标 

。 掌握 防火 墙 的 概念 、 功 能 特点 及 安全 性 。 
。 掌握 防火 墙 的 分 类 。 

。 了 解 防火 墙 的 选 购 .安装 和 维护 。 

。 掌握 常用 防火 墙 系统 结构 。 

技能 目标 

。 能 够 识别 防火 墙 系统 基本 结构 。 

。 能 够 利用 天 网 防火 墙 进行 网 络 安 全 设置 。 
。 掌握 瑞星 防火 墙 的 使 用 。 


企业 的 内 部 网 与 Internet 相连 ,方便 了 企业 内 部 之 间 及 企业 与 外 部 的 信息 交流 ,提高 
了 工作 效率 。 然 而 ,一 旦 企业 内 部 网 连 入 Internet, 就 意味 着 Internet 上 的 每 个 用 户 都 有 
可 能 访问 企业 网 。 如 果 没 有 一 个 安全 性 保护 措施 ,黑客 可 能 会 在 毫 无 察觉 的 情况 下 进入 
企业 网 ,非法 访问 企业 的 资源 。 而 防火 墙 (firewall) 就 是 保护 企业 内 部 网 中 信息 安全 的 一 
项 重要 措施 。 


5.1 防火 墙 技术 简介 


防火 墙 是 一 种 能 将 内 部 网 和 公众 网 分 开 的 方法 。 它 能 限制 被 保护 的 网 络 与 Internet 
及 其 他 网 络 之 间 进 行 的 信息 存 取 、 传 递 等 操作 。 在 构建 安全 的 网 络 环境 过 程 中 ,防火 墙 作 
为 第 一 道 安全 防线 , 正 受 到 越 来 越 多 用 户 的 关注 。 


511 防火 墙 的 定义 


“防火 墙 " 原 来 是 指 在 建筑 物 中 用 来 隔离 不 同 的 房间 ,防止 火灾 蔓延 的 隔断 墙 , 现 在 人 
们 引用 这 个 概念 ,把 用 于 保护 计算 机 网 络 中 敏感 数据 不 被 窃取 和 自 改 的 计算 机 软 / 硬 系统 
叫 作 “防火 墙 ”。 

防火 墙 是 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信任 的 公共 网 ) 或 网 络 安全 
域 之 间 的 一 系列 部 件 的 组 合 , 它 可 通过 监测 、 限 制 、 更 改 跨越 防火 墙 的 数据 流 , 尽 可 能 地 
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对 外 部 屏蔽 网 络 内 部 的 信息 ,结构 和 运行 状况 ,以 此 来 实现 网 络 的 安全 保护 。 
防火 墙 实际 上 是 一 种 访问 控制 技术 , 它 在 一 个 被 认为 是 安全 和 可 信 的 内 部 网 络 和 一 
个 被 认为 是 不 那么 安全 和 可 信 的 外 部 网 络 之 间 设 置 障碍 ,阻止 对 信息 资源 的 非法 访问 ,也 


可 以 阻止 保密 信息 从 受 保护 网 络 上 被 非法 答 出。 
Cos 它 能 允许 你 "同意 ”的 人 和 数据 进入 你 的 网 络 ,同时 


| 将 你 "不 同意 "的 人 和 数据 拒 之 网 外 。 换 句 话 说 ,如 
WAk 培 | 果 不 通过 防火 墙 ,可 信 网 络 内 部 和 外 部 的 人 就 无 法 
于 进行 通信 。 


防火 墙 是 一 类 防范 措施 的 总 称 ,不 是 一 个 单独 
目 轩 的 计算 机 程序 或 设备 。 在 物理 上 , 它 通 常 是 一 组 硬 
及 号 忌 已 件 设备 和 软件 的 多 种 组 合 。 在 逻辑 上 , 它 是 分 离 
服务 器 工作 站 工作 站 工作 站 器、 限制 器 和 分 析 器 ,可 有 效 地 监控 内 部 网 和 公共 

图 5.1 防火 墙 示意 网 之 间 的 任何 活动 。 防 火 墙 是 不 同 网 络 或 网 络 安 
全 域 之 间 信息 的 唯一 出 入 口 ,能 根据 一 定 的 安全 政 


策 控制 出 入 网 络 的 信息 流 。 防 火 墙 本 身 具 有 较 强 的 抗 攻 击 能 力 ,是 提供 信息 安全 服务 , 实 
现 网 络 和 信息 安全 的 基础 设施 。 图 5. 1 为 防火 墙 示 意 。 


512 防火 墙 的 功能 

一 方面 ,防火 墙 对 经 过 它 的 网 络 通信 进行 扫描 ,过 滤 一 些 可 能 攻击 内 部 网 络 的 数据 ; 
另 一 方面 ,防火 墙 可 以 关闭 不 使 用 的 端口 ,能 禁止 特定 端口 通信 ,封锁 特洛伊 木马 。 它 可 
以 禁止 来 自 特殊 站 点 的 访问 ,从 而 防止 来 自 不 明 入 侵 者 的 所 有 通信 。 具 体 来 说 ,防火 墙 的 
功能 主要 体现 在 以 下 几 个 方面 。 


1. 防火 墙 是 网 络 安全 的 屏障 


一 个 防火 墙 (作为 阻塞 点 控制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ,并 通过 过 滤 
不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ,所 以 网 
络 环境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 进出 受 保 护 
网 络 ,这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 
以 保护 网 络 免 受 基于 路 由 的 攻击 ,如 IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 
路 径 。 防 火 墙 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 


2. 防火 墙 可 以 强化 网 络 安全 策略 


通过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 安全 软件 (如 口令 、 密 码 、 身 份 认 证 、 
审计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集中 安全 
管理 更 经 济 。 如 在 网 络 访问 时 ,口令 系统 和 其 他 的 身份 认证 系统 完全 不 必 分 散在 各 个 主 
机 上 ,而 是 集中 在 防火 墙 身上 。 

3. 进行 网 络 存 取 和 访问 监控 审计 


如 果 所 有 的 访问 都 经 过 防火 墙 ,那么 ,防火 墙 就 能 记录 下 这 些 访问 并 作出 日 志 记 录 。 
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当 发 生 可 疑 动作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提供 网 络 是 否 受到 监测 和 攻击 的 详细 信 
息 。 另 外 ,收集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 重要 的 , 它 可 以 清楚 防火 墙 是 否 能 够 
抵挡 攻击 者 的 探测 和 攻击 ,并 且 清 楚 防 火 墙 的 控制 是 否 充足 。 而 网 络 使 用 统计 对 网 络 需 
求 分 析 和 威胁 分 析 等 而 言 也 是 非常 重要 的 。 


4. 防止 内 部 信息 的 外 泄 


通过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 对 内 部 网 重点 网 段 的 隔离 ,从 而 限制 了 局 
部 重点 或 敏感 网 络 安全 问题 对 全 局 造成 的 影响 。 再 者 ,隐私 是 内 部 网 络 非常 关心 的 问题 ， 
一 个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 了 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 兴 
趣 ,甚至 因此 暴露 了 内 部 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 一 些 能 透露 内 部 细节 
的 服务 ,如 Finger、DNS 等。Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 ,攻击 者 可 以 知 
道 一 个 系统 使 用 的 频繁 程度 ,这 个 系统 是 否 有 用 户 正 在 连 线 上 网 ,这 个 系统 是 否 在 被 攻击 
时 引起 注意 等 。 防 火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 ,这样 一 台 主 机 的 域名 
和 IP 地 址 就 不 会 被 外 界 所 了 解 。 


5. 支持 具有 Internet 服务 特性 的 企业 内 部 网 络 技术 体系 


通过 企业 内 部 网 络 技术 体系 (VPN) ,将 企 事业 单位 分 布 在 全 世界 各 地 的 LAN 或 专 
用 子 网 ,有 机 地 连 成 一 个 整体 ,不 仅 省 去 了 专用 通信 线路 ,而且 为 信息 提供 了 技术 保障 。 

尽管 防火 墙 有 许多 防范 功能 ,但 由 于 Internet 的 开放 性 , 它 也 有 一 些 不 尽 如 人 意 的 地 
方 , 主 要 表现 在 以 下 几 个 方面 。 

(1) 防火 墙 不 能 防范 绕 过 防火 墙 的 攻击 。 例 如 ,在 一 个 被 保护 的 网 络 上 有 一 个 没有 
限制 的 拨 出 存在 ,内 部 网 上 的 用 户 就 可 以 直接 通过 SLIP 或 PPP 连接 进入 外 部 网 络 。 内 
部 网 络 用 户 可 能 会 对 需要 附加 论证 的 代理 服务 器 感到 厌烦 ,因而 通过 SLIP 或 PPP 连接 
Internet, 从 而 试图 绕 过 由 精心 构造 的 防火 墙 系统 提供 的 安全 系统 ,这 就 为 从 后 门 攻击 创 
造 了 极 大 的 可 能 。 网 络 上 的 用 户 必须 了 解 , 这 种 类 型 的 连接 对 于 一 个 有 全 面 的 安全 保护 
系统 来 说 是 绝对 不 允许 的 。 

(2) 防火 墙 不 能 防止 数据 驱动 式 攻击 。 当 有 些 表 面 看 来 无 害 的 数据 被 邮寄 或 复制 到 
Internet 主机 上 并 被 执行 而 发 起 攻击 时 ,就 会 发 生 数据 驱动 攻击 。 例 如 ,一 种 数据 驱动 的 
攻击 可 以 使 一 台 主 机 修改 与 安全 有 关 的 文件 ,从 而 使 得 入 侵 者 很 容易 获得 对 系统 的 访问 
权 , 以 便 下 一 次 更 容易 地 入 侵 该 系统 。 

(3) 防火 墙 不 能 防止 感染 病毒 的 软件 或 文件 的 传输 。 这 是 因为 病毒 的 类 型 太 多 , 操 
作 系 统 也 有 多 种 ,编码 与 压缩 二 进 制 文件 的 方法 也 各 不 相同 ,所 以 不 能 期 望 Internet 防火 
墙 去 对 每 一 个 文件 进行 扫描 , 查 出 潜在 的 病毒 。 对 病毒 特别 关心 的 机 构 应 在 每 个 桌面 部 
署 防 病毒 软件 ,防止 病毒 从 软盘 或 其 他 来 源 进入 网 络 系统 。 

(4) 防火 墙 不 能 防止 来 自 内 部 变节 者 和 用 户 带 来 的 威胁 。 防 火 墙 无 法 禁止 变节 者 或 
内 部 存在 的 间谍 将 敏感 数据 拷贝 .并 将 其 带 出 。 防 火 墙 也 不 能 防范 有 人 故意 伪装 成 超级 
用 户 ,劝说 没有 防范 心理 的 用 户 公开 口令 或 授予 其 临时 的 网 络 访问 权限 。 

防火 墙 只 是 整体 安全 防范 政策 的 一 部 分 。 整 个 网 络 易 受 攻击 的 各 个 点 必须 以 相同 程 
度 的 安全 防护 措施 加 以 保护 。 
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网 络 安全 通常 是 通过 技术 与 管理 两 者 相 结合 来 实现 的 ,良好 的 网 络 管理 加 上 优秀 的 
防火 墙 技术 是 提高 网 络 安全 性 能 的 最 好 选择 。 虽 然 网 络 防火 墙 技术 已 经 发 展 了 几 代 , 防 
火 墙 的 研究 和 开发 人 员 也 已 尽 了 很 大 努力 ,但 用 户 的 需求 永远 是 推动 技术 前 进 的 原动力 。 

随 着 网 上 的 攻击 手段 不 断 出 现 , 以 及 防火 墙 在 用 户 的 核心 业务 系统 中 占据 的 地 位 越 
来 越 重要 ,用 户 对 防火 墙 的 要 求 越 来 越 高 。 如 用 户 可 能 要 求 防火 墙 应 能 提供 更 细 粒 度 的 
访问 控制 手段 ,防火 墙 对 新 出 现 的 漏洞 和 攻击 方式 应 能 够 迅速 提供 有 效 的 防御 办 法 ,防火 
墙 的 管理 应 更 加 容易 和 方便 ,防火 墙 在 紧急 情况 下 可 以 做 到 迅速 响应 ,防火墙 具有 很 好 的 
性 能 和 稳定 性 等 。 用 户 的 这 些 要 求 归 纳 起 来 是 防火 墙 技术 应 具备 智能 化 .高 速度 、 分 布 式 
并 行 结构 ,多 功能 和 专业 化 的 发 展 趋势 。 


1. 智能 化 


防火 墙 将 从 目前 的 静态 防御 策略 向 具备 人 工 智能 化 方向 发 展 。 未 来 智能 化 的 防火 墙 
应 能 实现 以 下 功能 。 

(1) 自动 识别 并 防御 各 种 黑客 攻击 手法 及 其 相应 变种 攻击 手法 。 

(2) 在 网 络 出 口 发 生 异 常 时 自动 调整 与 外 网 的 连接 端口 。 

(3) 根据 信息 流量 自动 分 配 、 调 整 网 络 信息 流量 及 协同 多 台 物 理 设备 工作 。 

(4) 自动 检测 防火 墙 本 身 的 故障 并 能 自动 修复 。 

(5) 具备 自主 学 习 并 制定 识别 与 防御 方法 。 


2. 高 速度 


随 着 网 络 传输 速率 的 不 断 提高 ,防火墙 必须 在 响应 速度 和 报 文 转发 速度 方面 做 相应 
的 升级 ,这 样 才 不 至 于 成 为 网 络 的 瓶颈 。 


3. 分 布 式 并 行 结构 


分 布 式 并 行 处 理 的 防火 墙 是 防火 墙 的 男 一 发 展 趋势 ,在 这 种 概念 下 ,将 有 多 台 物 理 防 
火 墙 协同 工作 ,共同 组 成 一 个 强大 的 、 具 备 并 行 处 理 能 力 和 负载 均衡 能 力 的 逻辑 防火 墙 。 


4. 多 功能 


未 来 网 络 防火 墙 将 在 现 有 基础 上 继续 完善 其 功能 并 不 断 增强 新 的 功能 ,具体 如 下 。 

(1) 在 保密 性 方面 ,将 继续 发 展 高 保密 性 的 安全 协议 用 于 建立 VPN, 基 于 防火 墙 的 
VPN 在 较 长 一 段 时 间 内 将 继续 成 为 用 户 使 用 的 主流 。 

(2) 在 过 滤 方面 ,将 从 目前 的 地 址 .服务 `.URL、 文 本 .关键 字 过 滤 发 展 到 多 CGI、 
Active Java 等 Web 应 用 的 过 滤 ,并 将 逐渐 具备 病毒 过 滤 的 功能 。 

(3) 在 服务 方面 ,将 在 目前 透明 应 用 的 基础 上 完善 其 性 能 ,并 将 具备 针对 大 多 数 网 络 
通信 协议 的 代理 服务 功能 。 

(4) 在 管理 方面 ,将 从 子 网 和 内 部 网 络 的 管理 方式 向 基于 专用 通道 和 安全 通道 的 远 
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程 集中 管理 方式 发 展 ;管理 端口 的 安全 性 将 是 其 重点 考虑 的 内 容 ; 用 户 费 用 统计 、 多 种 媒 
体 的 远程 警报 及 友好 的 图 形 管理 界面 将 成 为 防火 墙 的 基本 功能 模块 。 

(5) 在 安全 方面 ,对 网 络 攻击 的 检测 .拦截 及 告警 功能 将 继续 是 防火 墙 最 主要 的 性 能 
指标 。 


5. 专业 化 


单 向 防火 墙 , 电 子 邮 件 防火 墙 .FTP 防火 墙 等 针对 特定 服务 的 专业 化 防火 墙 将 作为 
一 种 产品 门类 出 现 。 

未 来 防火 墙 的 发 展 思路 将 是 : 防火 墙 从 目前 对 子 网 或 内 部 网 管理 的 方式 向 远程 上 网 集 
中 管理 的 方式 发 展 ;过 滤 深 度 不 断 加 强 ,从 目前 的 地 址 \ 服 务 器 过 滤 , 发 展 到 URL( 页 面 ) 过 
滤 、 关 键 字 过 滤 和 对 Activex、Java 等 的 过 滤 ,并 逐渐 有 病毒 清除 功能 。 利 用 防火 墙 建立 VPN 
是 较 长 一 段 时 间 内 用 户 使 用 的 主流 ,IP 的 加 密 需 要 越 来 越 强 ,安全 协议 的 开发 是 一 大 热点 ; 
对 网 络 攻击 的 检测 和 告警 将 成 为 防火 墙 的 重要 功能 。 此 外 ,网 络 的 防火 墙 产品 还 将 把 网 络 
前 沿 技术 ,如 Web 页 面 超 高 速 缓存 .虚拟 网 络 和 带宽 管理 等 与 其 自身 结合 起 来 。 


操作 步 又 
第 1 步 安装 天 网 防火 墙 之 后 ,打开 “天 网 防火 墙 个 人 版 ”窗口 ,如 图 5.2 所 示 。 


图 5.2 “天 网 防火 墙 个 人 版 ”窗口 


注意 : 由 于 防火 墙 一 般 都 要 检查 网 络 连 接 , 因 此 ,在 自己 的 计算 机 上 安装 网 络 防火 墙 
后 ,上 网 速度 可 能 会 有 所 下 降 , 但 并 不 明显 。 


« ‘2 计算 机 网 络 安全 技术 案例 教程 了 下 


第 2 步 右 击 桌面 右 下 角 的 “天 网 防火 墙 ? 图 标 ,并 在 弹出 的 快捷 菜单 中 选择 “退出 ” 
命令 , 即 可 退出 “天 网 防火 墙 个 人 版 "程序 。 

第 3 步 单 击 主 窗口 中 的 “应 用 程序 规则 ”按钮 , 即 可 打开 “应 用 程序 规则 ”对 话 框 ,从 
中 可 以 设置 允许 (~ )、 提 示 (?)、 禁 止 (X)3 种 方式 来 判断 是 否 允 许 访 问 网 络 资源 ,如 
图 5.3 所 示 。 
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图 5.3 设置 应 用 程序 规则 


第 4 步 选择 其 中 一 个 程序 (如 “QQ 游戏 ”), 单 击 “ 删 除 ”按钮 , 即 可 打开 “天 网 防火 
墙 提示 信息 ”对 话 框 ,如 图 5.4 所 示 。 

第 5 步 单 击 “ 确 定 ”" 按 钮 之 后 ,将 禁止 QQ 游戏 使 用 网 络 资源 ,如 果 此 时 再 运行 QQ 
游戏 , 将 打开 “天 网 防火 墙 警 告 信息 ”对 话 框 ,如 图 5.5 所 示 。 只 有 取消 选中 “该 程序 以 后 


图 5.4 天 网 防火 墙 提示 信息 图 5.5 天 网 防火 墙 警告 信息 
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都 按照 这 次 的 操作 运行 " 复 选 框 并 单 击 “ 允 许 ” 按 钮 ,该 QQ 游戏 程序 才 可 以 使 用 网 络 资源 。 

注意 : 应 用 程序 中 的 “、/ ”表示 该 程序 可 以 使 用 网 络 资源 ;“?” 表 示 该 程序 使 用 网 络 资 
源 时 将 弹出 信息 提示 对 话 框 ;“X ”表示 该 程序 不 能 使 用 网 络 资源 。 如 已 经 禁止 了 QQ 游 
戏 程序 , 则 运行 QQ 游戏 时 ,将 显示 无 法 连接 。 

第 6 步 在 “应 用 程序 规则 ”对 话 框 选择 一 项 并 双击 “选项 "按钮 , 即 可 打开 “应 用 程序 
规则 高 级 设置 "对话 框 ,如 图 5.6 所 示 。 

第 7 步 如 果 选 择 “ 端 口 范围 " 单 选 按钮 ,从 中 即 可 设 定 该 程序 访问 网 络 的 端口 范围 
(本 对 话 框 中 内 容 表 示 Firefox 程序 只 能 使 用 0 一 1024 的 端口 ), 如 图 5.7 所 示 。 
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图 5.6 “应 用 程序 规则 高 级 设置 对话 框 图 5.7 设置 端口 范围 


第 8 步 选择 “端口 列表 " 单 选 按 钮 ,在 右 侧 列表 框 处 列 出 了 该 程序 可 使 用 的 端口 ,如 
图 5.8 所 示 。 

第 9 步 在 “应 用 程序 规则 ”对 话 框 单 击 "IP 规则 管理 ”按钮 , 即 可 打开 “ 自 定义 IP 规 
则 ”对 话 框 ,选择 其 中 任 一 项 , 即 可 在 列表 框 中 出 现 对 该 规则 的 描述 ,如 图 5.9 所 示 。 


图 5.8 设置 端口 列表 图 5.9 自 定义 还 规则 
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第 10 步 在 “应 用 程序 规则 ”对 话 框 单 击 “ 系 统 设置 ”按钮 并 选中 “启动 ”选项 组 中 的 
“开机 后 自动 启动 防火 墙 " 复 选 框 , 则 以 后 每 次 启动 计算 机 时 都 将 自动 运行 天 网 防火 墙 。 
如 果 单 击 “ 重 置 ”按钮 , 则 会 打开 图 5.10 所 示 的 对 话 框 。 单 击 “ 确 定 ” 按 钮 , 即 可 删除 所 有 
后 来 加 入 的 新 规则 ,而 所 有 被 修改 的 规则 都 将 变 成 初始 的 默认 设置 。 


图 5.10 设置 提示 信息 


第 11 步 单 击 * 向 导 ” 按 钮 , 即 可 打开 “天 网 防火 墙 设置 向 导 ” 窗 口 ,如 图 5.11 所 示 。 


天 网 防火 墙 设置 向 导 


欢迎 您 使 用 天 网 防火 墙 设 置 向 导 


二 
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图 5.11 “天 网 防火 墙 设置 向 导 ” 窗 口 
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第 12 步 单 击 “ 下 一 步 " 按 钮 , 即 可 进入 “安全 级 别 设置 "对话 框 ,从 中 选择 所 要 使 用 
的 安全 级 别 , 如 图 5.12 所 示 。 


图 5.12 设置 安全 级 别 


第 13 步 ” 单 击 “ 下 一 步 按 钮 , 即 可 进入 “常用 应 用 程序 设置 ?对 话 框 , 在 其 中 可 以 选 
择 防火 墙 允 许 访问 网 络 的 程序 。 

第 14 步 单 击 “ 下 一 步 ” 按 钮 , 即 可 进入 “局 域 网 信息 设置 ”对话 框 。 其 中 选中 “开机 
的 时 候 自动 启动 防火 墙 " 复 选 框 , 即 可 让 防火 墙 在 开机 的 时 候 自 动 开始 对 计算 机 进行 保 
护 。 在 “我 的 局 域 网 的 地 址 是 ”文本 框 中 ,只 要 输入 要 设 定 的 IP 地 址 即 可 。 

第 15 步 在 完成 设置 之 后 , 单 击 “ 结 束 ” 按 钮 , 即 可 完成 对 天 网 防火 墙 的 系统 设置 。 


5.2 ”防火墙 技术 的 分 类 


防火 墙 是 近期 发 展 起 来 的 一 种 保护 计算 机 网 络 安全 的 技术 性 措施 , 它 是 一 个 用 来 阻 
止 网 络 中 的 黑客 访问 某 个 机 构 网 络 的 屏障 ,在 网 络 边 界 上 通过 建立 起 来 的 相应 网 络 监 控 
系统 来 隔离 内 部 和 外 部 网 络 ,以 阻挡 外 部 网 络 的 侵入 。 目 前 的 防火 墙 主要 有 两 大 类 : 包 
过 滤 防 火 墙 和 代理 防火 墙 。 
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1. 包 过 滤 防 火 墙 技 术 


数据 包 过 滤 (packet filtering) 技 术 是 防火 墙 为 系统 提供 安全 保障 的 主要 技术 , 它 依据 
系统 内 事先 设 定 的 过 滤 逻 辑 , 通 过 设备 对 进出 网 络 的 数据 流 进行 有 选择 地 控制 与 操作 。 

数据 包 过 滤 技 术 作 为 防火 墙 的 应 用 有 3 种 。 第 一 种 是 路 由 设备 在 完成 路 由 选择 和 数 
据 转发 的 同时 进行 包 过 滤 。 第 二 种 是 在 工作 站 上 使 用 软件 进行 包 过 滤 。 第 三 种 是 在 一 种 
称 为 屏蔽 路 由 器 的 路 由 设备 上 启动 包 过 滤 功 能 。 目 前 较 常 用 的 方式 是 第 一 种 。 用 户 可 以 
设 定 一 系列 的 规则 ,指定 允许 哪些 类 型 的 数据 包 可 以 流入 或 流出 内 部 网 络 ,哪些 类 型 的 数 
据 包 的 传输 应 该 被 拦截 。 

包 过 滤 作 用 在 网 络 层 和 传输 层 , 以 IP 包 信 息 为 基础 ,对 通过 防火 墙 的 IP 包 的 源 、 目 
的 地 址 ,TCP/UDP 的 端口 标识 符 及 ICMP 等 进行 检查 。 规 定 了 哪些 网 络 节 点 何 时 可 通 
过 防火 墙 访问 外 部 网 络 ,哪些 网 络 节点 可 访问 内 部 网 络 。 或 者 哪些 用 户 只 能 使 用 电子 邮 
件 ,而 不 能 使 用 Telnet 和 FTP, 哪 些 用 户 只 能 使 用 Telnet', 而 不 能 使 用 FTP 等 。 可 以 利 
用 安全 策略 形式 语言 描述 安全 配置 规则 ,并 进行 一 致 性 检查 ,达到 灵活 方便 地 配置 安全 
策略 的 目的 。 

包 过 滤 规 则 检查 数据 流 中 的 每 个 数据 包 后 ,根据 规则 来 确定 是 否 允 许 数据 包 通 过 ,其 
核心 是 过 滤 算 法 的 设计 。 如 果 包 的 出 人 接口 相 匹配 ,并且 规则 允许 该 数据 包 通 过 ,那么 该 
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数据 包 就 会 按照 路 由 表 中 的 信息 被 转发 。 但 是 ,如 果 包 的 出 入 接口 相 匹 配 ,而 规则 拒绝 该 
数据 包 , 那 么 该 数据 包 也 会 被 丢弃 。 如 果 出 入 接口 未 设 匹 配 规则 ,用 户 配 置 的 默认 参数 会 
决定 是 转发 还 是 丢弃 数据 包 。 

数据 包 过 滤 在 网 络 中 起 着 举足轻重 的 作用 , 它 允 许 用户 在 某 个 地 方 为 整个 网 络 提供 
特别 的 保护 。 例 如 ,Telnet 服务 器 在 TCP 的 23 号 端口 上 监听 远程 连接 ,为 了 阻塞 所 有 进 
人 的 Telnet 连接 , 包 过 滤 路 由 器 只 需要 简单 地 丢弃 所 有 TCP 端口 号 等 于 23 的 数据 包 。 
为 了 将 进来 的 Telnet 连接 限制 内 部 的 数 台 机 器 上 , 包 过 滤 路 由 器 必须 拒绝 所 有 TCP 端 
口号 等 于 23 ,并 且 目 标 IP 地 址 不 等 于 允许 主机 的 IP 地 址 的 数据 包 。 

包 过 滤 的 操作 可 以 在 路 由 器 上 进行 ,也 可 以 在 网 桥 ,甚至 在 一 个 单独 的 主机 上 进行 ， 
大 多 数 数据 包 过 滤 系 统 不 处 理 数 据 本 身 , 它 们 不 根据 数据 包 的 内 容 做 决定 。 


2. 包 过 滤 防 火 墙 技术 的 优 缺点 


数据 包 过 滤 防 火 墙 技 术 有 很 多 优点 ,主要 体现 在 以 下 几 点 。 

(1) 包 过 滤 技 术 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ,因为 过 滤 发 生 在 网 络 层 和 传 
输 层 ,与 应 用 无 关 。 

(2) 单独 的 放置 恰当 的 数据 包 过 滤 路 由 器 有 助 于 整个 网 络 。 如 果 仅 有 一 个 路 由 器 
连接 内 部 网 络 和 外 部 网 络 ,那么 不 论 网 络 大 小 .拓扑 结构 如 何 , 所 有 网 络 通信 都 要 通过 那 
个 路 由 器 进行 数据 包 过 滤 ,这样 在 网 络 安全 方面 就 能 取得 较 好 的 效果 。 

(3) 数据 包 过 滤 技 术 对 用 户 没有 特别 的 要 求 。 数 据 包 过 滤 是 在 IP 层 实现 的 , 它 不 要 
求 任何 自 定义 的 软件 或 者 特别 客户 机 配置 ,也 不 要 求 用 户 经 过 任何 特殊 训练 。 当 数据 包 
过 滤 路 由 器 在 检查 数据 包 时 , 它 与 普通 路 由 器 没什么 区 别 , 甚 至 用 户 感觉 不 到 它 的 存在 ， 
除非 用 户 试图 做 一 些 数据 包 过 滤 路 由 器 所 禁止 的 事 。 这 样 , 对 用 户 来 说 ,数据 包 过 滤 技术 
具有 较 强 的 透明 度 ,使 用 起 来 很 方便 。 

(4) 大 多 数 路 由 器 都 具有 数据 包 过 滤 功 能 ,不论 是 商业 的 还 是 免费 的 ,许多 硬件 或 软 
件 路 由 产品 都 具有 数据 包 过 滤 能 力 , 大 多 数 网 络 使 用 的 路 由 器 也 具有 这 种 功能 ,数据 包 过 
滤 路 由 器 工作 时 一 般 只 检查 报头 相应 的 字段 ,而 不 查看 数据 包 的 内 容 , 而 且 有 些 核心 部 件 
是 由 专用 硬件 实现 的 ,所 以 转发 速度 快 ,效率 比较 高 。 

由 以 上 优点 可 以 看 出 ,数据 包 过 滤 是 一 种 通用 、 廉 价 、 有 效 的 安全 手段 ,说 它 通 用 是 因 
为 它 不 针对 各 个 具体 的 网 络 服务 采取 特殊 的 处 理 方 式 。 说 它 廉价 是 因为 大 多 数 路 由 器 都 
提供 分 组 过 滤 功 能 。 说 它 有 效 是 因为 它 能 在 很 大 程度 地 满足 企业 的 安全 要 求 。 

数据 包 过 滤 存 在 的 缺陷 主要 体现 在 以 下 几 点 。 

(1) 在 过 滤 过 程 中 判别 的 只 有 网 络 层 和 传输 层 的 有 限 信息 ,而 不 能 在 用 户 级 别 上 进 
行 过 滤 ,不 能 识别 不 同 的 用 户 和 防止 IP 地 址 的 次 用 ,因而 各 种 安全 要 求 不 可 能 得 到 充分 
满足 。 例 如 ,攻击 者 可 以 把 自己 主机 的 IP 地 址 设 成 一 个 合法 主机 的 IP 地 址 ,这 样 就 可 以 
很 轻易 地 通过 报 文 过 滤器 。 

(2) 在 许多 过 滤器 中 ,过 滤 规 则 的 数目 是 有 限制 的 , 随 着 规则 数目 的 增加 ,设备 性 能 
会 受到 很 大 的 影响 ,导致 数 据 包 过 滤器 使 用 户 难 以 使 用 某 些 需要 的 规则 。 例 如 ,用 户 只 能 
确定 数据 包 来 自 什 么 主机 ,而 不 能 指定 到 达 特 定 的 应 用 程序 ; 当 用 户 通过 端口 号 对 一 些 协 


第 5 章 “防火墙 技 术 


议 实行 限制 时 ,其 他 的 协议 同时 也 被 禁止 了 。 

(3) 当前 的 过 滤 工 具 并 不 完善 ,或 多 或 少 地 存在 一 些 局 限 性 。 如 数据 包 过 滤 规 则 难 
以 配置 ,甚至 不 可 能 运行 ;难以 检查 数据 包 过 滤 规 则 ;许多 产品 的 数据 包 过 滤 能 力 不 完 
全 等 。 

(4) 由 于 缺少 上 下 文 关联 信息 ,数据 包 过 滤 路 由 器 不 能 有 效 地 过 滤 诸 如 UDP、RPC、 
FTP 一 类 的 协议 。 

(5) 数据 包 过 滤 技 术 对 安全 管理 人 员 素 质 要 求 较 高 。 建 立 安全 规则 时 ,管理 人 员 必 
须 对 协议 本 身 及 其 在 不 同 应 用 程序 中 的 作用 有 较 深入 的 理解 。 

在 实际 应 用 中 ,很 少 把 数据 包 过 滤 技 术 当 成 单独 的 安全 解决 方案 ,主要 是 因为 数据 包 
过 滤 技 术 本 身 的 缺陷 。 过 滤 路 由 器 通常 是 和 应 用 网 关 配 合 或 是 与 其 他 防火 墙 技术 一 起 使 
用 ,共同 组 成 防火 墙 系统 。 


522 代理 防火 墙 技术 
1. 代理 防火 墙 技术 


代理 防火 墙 即 代 理 服 务 器 (proxy server)。 代 理 服 务 器 是 指 代理 内 部 网 络 用 户 与 外 
部 网 络 服务 器 进行 信息 交换 的 程序 。 它 可 以 将 内 部 用 户 的 请 求 确认 后 送 达 外 部 服务 器 ， 
同时 将 外 部 服务 器 的 响应 再 送 给 用 户 。 这 种 技术 经 常 被 用 于 在 Web 服务 器 上 高 速 缓存 
信息 ,扮演 着 Web 客户 和 Web 服务 器 之 间 的 中 介 角 色 。 它 主要 保存 Internet 上 最 常用 
和 最 近 访问 过 的 内 容 , 可 为 用 户 提供 更 快 的 访问 速度 ,并 且 提 高 了 网 络 安全 性 。 由 于 代理 
服务 器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 间 转 接 和 隔离 的 作用 ,因此 ,又 把 它 叫 
作 代 理 防 火 墙 。 

代理 防火 墙 作 用 在 应 用 层 , 用 来 提供 应 用 层 服务 的 控制 ,其 特点 是 完全 阻隔 了 网 络 通 
信 流 ,通过 对 每 种 应 用 服务 编制 专门 的 代理 程序 。 实 现 监视 和 控制 应 用 层 通信 流 的 作用 。 
所 以 代理 防火 墙 又 被 称 为 应 用 代理 或 应 用 层 网 关 型 防火 墙 。 

应 用 层 网 关 型 防火 墙 控制 的 内 部 网 络 只 接受 代理 服务 器 提出 的 服务 请 求 ,拒绝 外 部 
网 络 其 他 接点 的 直接 请 求 。 它 同时 提供 了 多 种 方法 认证 用 户 。 当 确认 了 用 户 名 和 口令 
后 ,服务 器 根据 系统 的 设置 对 用 户 作 进一步 的 检查 ,验证 其 是 否 可 以 访问 本 服务 器 。 应 用 
层 网 关 型 防火 墙 还 对 进出 防火 墙 的 信息 进行 记录 ,并 可 由 网 络 管理 员 用 来 监视 和 管理 防 
火 墙 的 使 用 情况 ,实际 中 的 应 用 网 关 通 常 由 专用 代理 服务 器 实现 。 图 5. 13 为 代理 防火 墙 
的 示意 图 。 

具体 来 说 ,应 用 层 网 关 是 内 部 网 与 外 部 网 的 隔离 点 ,掌握 着 应 用 系统 中 可 用 做 安全 决 
策 的 全 部 信息 。 这 使 网 络 管理 员 能 够 实现 比 包 过 滤 路 由 器 更 严格 的 安全 策略 。 应 用 层 网 
关 不 用 依赖 包 过 滤 工 具 来 管理 Internet 服务 在 防火 墙 系统 中 进出 ,而 是 采用 为 每 种 所 需 
服务 安装 特殊 代码 的 方式 来 管理 Internet 服务 。 如 果 网 络 管理 员 没 有 为 某 种 应 用 安装 代 
理 编码 ,那么 该 项 服务 就 不 支持 并 不 能 通过 防火 墙 系统 来 转发 。 同 时 ,代码 还 可 以 配置 成 
只 支持 网 络 管理 员 认为 必需 的 部 分 功能 ,从 而 有 效 地 防止 网 络 攻击 。 
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图 5.13 代理 防火 墙 示意 


2. 代理 防火 墙 技术 的 优 缺点 


(1) 代理 防火 墙 技术 的 优点 

Q@ 代理 能 生成 各 项 记录 。 因 为 代理 工作 在 应 用 层 , 它 检查 各 项 数据 ,可 以 按 一 定 准 
则 让 代理 生成 各 项 上 日志、 记录 。 这 些 日 志 、 记 录 对 于 流量 分 析 、 安 全 检验 是 十 分 重要 和 宝 
贵 的 ,当然 ,它们 也 可 以 用 于 计 费 等 。 

@ 代理 易于 配置 。 代 理 因为 是 一 个 软件 ,所 以 它 较 路 由 器 更 易 配置 。 配 置 界面 十 分 
友好 。 如 果 代 理 实现 得 好 ,可 以 对 配置 协议 要 求 较 低 , 从 而 避免 了 配置 错误 。 

@ 代理 能 灵活 、 完 全 地 控制 进出 流量 ,内 容 。 通 过 采取 一 定 措施 ,按照 一 定 的 规则 ， 
用 户 可 以 借助 代理 实现 一 整套 的 安全 策略 。 比 如 可 控制 谁 和 什么 时 间 和 地 点 。 

@ 代理 能 过 滤 数 据 内 容 。 用 户 可 以 把 一 些 过 滤 规 则 应 用 于 代理 ,让 它 在 高 层 实现 过 
滤 功 能 ,如 文本 过 滤 、 图 像 过 滤 ( 目 前 还 未 实现 ,但 这 是 一 个 热点 研究 领域 ) 、 预 防 病毒 或 扫 

@ 代理 可 以 方便 地 与 其 他 安全 手段 集成 。 目 前 的 安全 问题 解决 方案 很 多 ,如 认证 、 
授权 ,账户 .数据 加 密 、 安 全 协议 等 。 如 果 把 代理 与 这 些 手 段 联合 使 用 ,将 大 大 增加 网 络 安 
全 性 。 

(2) 代理 防火 墙 技术 的 缺点 

Q 代理 对 用 户 不 透明 ,大 多 代理 要 求 客户 端 做 相应 改动 或 安装 定制 客户 端 软件 ,这 
给 用 户 增加 了 不 透明 度 。 为 庞大 的 互联 网 中 的 每 一 台 内 部 主机 安装 和 配置 特定 的 应 用 程 
序 既 消耗 时 间 , 又 容易 出 错 ,因为 它们 的 硬件 平台 和 操作 系统 都 存在 差异 。 

@ 代理 速度 比 路 由 器 慢 。 路 由 器 只 是 简单 查看 TCP/IP 报头 ,检查 特定 的 几 个 域 ， 
不 做 详细 分 析 、 记 录 ,而 代理 工作 于 应 用 层 , 要 检查 数据 包 的 内 容 , 按 特定 的 应 用 协议 进行 
审查 ,扫描 数据 包 内 容 , 并 进行 转发 请 求 , 或 响应 ,所 以 启动 速度 较 慢 。 

@ 对 于 每 项 服务 代理 可 能 要 求 不 同 的 服务 器 。 可 能 需要 为 每 项 协议 设置 一 个 不 同 
的 代理 服务 器 。 因 为 代理 服务 器 不 得 不 理解 协议 以 便 判 断 什么 是 允许 的 和 不 允许 的 ,并 
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且 还 装扮 成 一 个 对 真实 服务 器 来 说 是 客户 ,对 代理 客户 来 说 是 服务 器 的 角色 ,挑选 ,安装 
和 配置 所 有 这 些 不 同 服务 器 也 可 能 是 一 项 较 复杂 的 工作 。 

@ 除了 一 些 为 代理 而 设 的 服务 ,代理 服务 器 要 求 对 客户 或 过 程 进行 限制 ,每 一 种 限 
制 都 有 不 足 之 处 ,人 们 无 法 经 常 按 自己 的 步骤 使 用 快捷 、 可 用 的 工作 。 由 于 这 些 限制 , 代 
理应 用 就 不 能 像 非 代 理应 用 运行 得 那么 好 ,它们 往往 可 能 曲解 协议 的 说 明 , 并 且 一 些 客户 
和 服务 器 比 其 他 的 要 缺少 一 些 灵活 性 。 

@ 代理 服务 器 不 能 保证 免 受 所 有 协议 弱点 的 限制 。 作 为 一 个 安全 问题 的 解决 方法 ， 
代理 取决 于 对 协议 中 哪些 是 安全 操作 的 判断 能 力 。 每 个 应 用 层 协 议 ,都 或 多 或 少 存在 一 
些 安全 问题 ,对 于 一 个 代理 服务 器 来 说 ,要 彻底 避免 这 些 安全 隐患 几乎 是 不 可 能 的 ,除非 
关 掉 这 些 服务 。 代 理 取 决 于 在 客户 端 和 真实 服务 器 之 间 插 入 代理 服务 器 的 能 力 ,这 要 求 
两 者 之 间 交 流 的 相对 直接 性 。 而 且 有 些 服务 的 代理 是 相当 复杂 的 。 

@ 代理 不 能 改进 底层 协议 的 安全 性 。 因 为 代理 工作 于 应 用 层 ,所 以 它 就 不 具备 改善 
底层 通信 协议 的 能 力 。 而 这 些 方面 ,对 于 一 个 网 络 的 健壮 性 是 相当 重要 的 。 

在 实际 应 用 中 ,构筑 防火 墙 的 解决 方案 很 少 采用 单一 的 技术 ,大 多 数 防火 墙 是 将 数据 
包 过 滤 和 代理 服务 器 结合 起 来 使 用 的 。 


5.3 防火 墙 的 基本 体系 结构 


出 于 对 更 高 安全 性 的 要 求 , 通 常 的 防火 墙 系统 是 多 种 解决 不 同 问题 的 技术 的 有 机 组 
合 。 例 如 ,把 基于 包 过 滤 的 方法 与 基于 应 用 代理 的 方法 结合 起 来 。 就 形成 复合 型 防火 墙 
产品 。 目 前 常见 的 有 以 下 几 种 配置 方法 。 


1. 屏蔽 路 由 器 


屏蔽 路 由 器 是 防火 墙 最 基本 的 构件 ,是 最 简单 也 是 最 常见 的 防火 墙 。 屏 项 路 由 器 作 
为 内 外 连接 的 唯一 通道 ,要 求 所 有 的 报 文 都 必须 在 此 通过 检查 。 路 由 器 上 可 以 安装 基于 
IP 层 的 报 文 过 滤 软 件 ,实现 报 文 过 滤 功 能 。 许 多 路 由 器 本 身 带 有 报 文 过 滤 配 置 选项 ,但 
一 般 比 较 简单 。 

这 种 配置 的 优点 是 : 容易 实现 、 费 用 少 , 并 且 对 用 户 的 要 求 较 少 ,使 用 方便 。 其 缺点 
是 : 日 志 记 录 能 力 不 强 ,规则 表 庞 大 、 复 杂 , 整 个 系统 依靠 单一 的 部 件 来 进行 保护 ,一 旦 被 
攻击 ,系统 管理 员 很 难 确定 系统 是 否 正在 被 人 侵 或 已 经 被 和 人 侵 了 。 


2. 双 宿 主 主机 网 关 


双 宿 主 主机 是 一 台 安 装 有 两 块 网 卡 的 计算 机 ,每 块 网 卡 有 各 自 的 IP 地 址 ,并 分 别 与 
受 保护 网 和 外 部 网 相连 。 如 果 外 部 网 络 上 的 计算 机 想 与 内 部 网 络 上 的 计算 机 进行 通信 ， 
它 就 必须 与 双 宿 主 主机 上 与 外 部 相连 的 IP 地 址 联系 ,代理 服务 器 软件 再 通过 男 一 块 网 卡 
与 内 部 网 络 相 连接 。 也 就 是 说 ,外 部 网 络 与 内 部 网 络 不 能 直接 通信 ,它们 之 间 的 通信 必须 
经 过 双 宿 主 主机 的 过 滤 和 控制 ,如 图 5. 14 所 示 。 

这 种 配置 是 用 双 宿 主 主机 做 防火 墙 ,两 块 网 卡 各 自在 主机 上 运行 着 防火 墙 软件 ,可 以 
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图 5.14 双 宿 主 主机 网 关 


转发 应 用 程序 ,提供 服务 等 。 应 该 指出 的 是 ,在 建立 双 宿 主 主机 时 ,应 该 关闭 操作 系统 的 
路 由 能 力 ,否则 从 一 块 网 卡 到 另 一 块 网 卡 的 通信 会 绕 过 代理 服务 器 软件 ,而 使 双 宿 主 主机 
网 关 失去 “防火 ”的 作用 。 

这 种 配置 的 优点 是 : 网 关 可 将 受 保护 网 络 与 外 界 完全 隔离 ;代理 服务 器 可 提供 日 志 ， 
有 助 于 网 络 管理 员 确 认 哪 些 主机 可 能 已 被 入 侵 ;同时 ,由 于 它 本 身 是 一 台 主 机 ,所 以 可 用 
于 诸如 身份 验证 服务 器 及 代理 服务 器 ,使 其 具有 多 种 功能 。 它 的 缺点 是 : 双 宿 主 主 机 的 
每 项 服务 必须 使 用 专门 设计 的 代理 服务 器 ,即使 较 新 的 代理 服务 器 能 处 理 几 种 服务 ,也 不 
能 同时 进行 ;另外 ,一 旦 双 宿 主 主 机 受到 攻击 ,并 使 其 只 具有 路 由 功能 ,那么 任何 网 上 用 户 
都 可 以 随便 访问 内 部 网 络 了 ,这 将 严重 损害 网 络 的 安全 性 。 


3. 屏蔽 主机 网 关 


屏蔽 主机 网 关 由 屏蔽 路 由 器 和 应 用 网 关 组 成 ,屏蔽 路 由 器 的 作用 是 包 过 滤 ,应 用 网 关 
的 作用 是 代理 服务 。 这 样 ,在 内 部 网 络 和 外 部 网 络 之 间 建 立 了 两 道 安全 屏障 , 既 实 现 了 网 
络 层 安 全 ,又 实现 了 应 用 层 安 全 。 来 自 外 部 网 络 的 所 有 通信 都 会 连接 到 屏蔽 路 由 器 , 它 根 
据 所 设置 的 规则 过 滤 这 些 通信 。 在 多 数 情况 下 ,与 应 用 网 关 之 外 的 机 器 的 通信 都 会 被 拒 
绝 。 网 关 的 代理 服务 器 软件 用 自己 的 规则 ,将 被 允许 的 通信 传送 到 受 保护 的 网 络 上 。 在 
这 种 情况 下 ,应 用 网 关 只 有 一 块 网 卡 ,因此 它 不 是 双 宿 主 主 机 网 关 , 如 图 5. 15 所 示 。 
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图 5.15 屏蔽 主机 网 关 


屏蔽 主机 网 关 比 双 宿 主 主机 网 关 设 置 更 加 灵活 , 它 可 以 设置 成 使 屏蔽 路 由 器 将 某 些 
通信 和 直接 传 到 内 部 网 络 的 站 点 ,而 不 是 传 到 应 用 层 网 关 。 另 外 ,屏蔽 主机 网 关 具 有 双重 保 
护 ,安全 性 更 高 。 它 的 缺点 是 : 由 于 要 求 对 两 个 部 件 配置 ,使 它们 能 协同 工作 ,所 以 屏 项 
主机 的 主机 将 失去 任何 安全 保护 ,整个 网 络 将 对 攻击 者 敞开 。 


4. 屏蔽 子 网 
屏蔽 子 网 系统 结构 是 在 屏蔽 主机 网 关 的 基础 上 再 加 上 一 个 屏蔽 路 由 器 ,两 个 路 由 器 
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放 在 子 网 的 两 端 ,三 者 形成 了 一 个 被 称 为 “ 非 军事 区 ”的 子 网 ,如 图 5. 16 所 示 。 
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图 5.16 屏蔽 子 网 


这 种 方法 在 内 部 网 络 和 外 部 网 络 之 间 建 立 了 一 个 被 隔离 的 子 网 。 用 两 台 屏蔽 路 由 器 
将 这 一 子 网 分 别 与 内 部 网 络 和 外 部 网 络 分 开 。 内 部 网 络 和 外 部 网 络 均 可 访问 被 屏蔽 子 
网 ,但 禁止 它们 穿 过 被 屏蔽 子 网 通信 。 外 部 屏蔽 路 由 器 和 应 用 网 关 与 在 屏蔽 主机 网 关中 
的 功能 相同 ,内 部 屏蔽 路 由 器 在 应 用 网 关 和 受 保护 网 络 之 间 提 供 附加 保护 。 为 了 入 侵 用 
这 种 体系 结构 构筑 的 内 部 网 络 ,攻击 者 必须 通过 两 个 路 由 器 。 即 使 攻击 者 成 功 侵 入 了 应 
用 网 关 , 他 仍 将 面 对 内 部 路 由 器 ,这 就 消除 了 内 部 网 络 的 单一 入 侵 点 。 在 屏蔽 子 网 防火 墙 
系统 结构 中 ,应 用 网 关 和 屏蔽 路 由 器 共同 构成 了 整个 防火 墙 的 安全 基础 。 

屏蔽 子 网 防火 墙 系统 结构 的 不 足 之 处 是 : 它 要 求 的 设备 和 软件 模块 是 上 述 几 种 防火 
墙 系统 结构 最 多 的 ,其 配置 也 相当 复杂 和 昂贵 。 


5.4 常见 的 防火 墙 软件 


防火 墙 是 网 络 安全 中 重要 的 第 一 防线 , 越 来 越 多 的 人 认识 到 安装 防火 墙 的 重要 性 。 
下 面 介绍 几 个 防火 增产 品 ,这 些 厂家 都 获得 了 国际 计算 机 安全 协会 的 认证 资格 ,所 以 不 需 
要 测试 网 络 抵御 攻击 的 能 力 。 


1. Check Point Firewall-1 


Check Point(www. checkpoint. com) 公 司 推出 的 Firewall-l 共 支 持 两 个 平台 : 一 个 
是 UNIX 平台 ; 另 一 个 是 Windows NT 平台 。Firewall-l1 具有 一 种 很 特别 的 结构 , 称 为 多 
层次 状态 监视 结构 。 这 种 结构 让 Firewall-l 可 以 对 复杂 的 网 络 应 用 软件 进行 快速 支持 。 
也 因为 这 个 功能 ,使 Check Point 也 提供 了 一 套 APL 供 开 发 者 使 用 ,以 便 开发 更 多 的 辅 
助 工具 。 

Firewall-1 提供 了 最 佳 权限 控制 .最 佳 综合 性 能 及 简单 明了 的 管理 。 除 了 NAT 外 ， 
它 具 有 用 户 认证 功能 。 对 于 FTP, 可 以 根据 put、set 及 文件 名 加 以 限制 。 对 于 SMTP, 它 
可 以 丢弃 超过 一 定 大 小 的 邮件 ,对 邮件 进行 病毒 扫描 ,以 及 改写 邮件 头 信 息 。Firewall-1 
还 可 以 防止 有 害 SMTP 命令 (如 Debug) 的 执行 。 

Firewall-1 的 用 户 界面 是 网 络 控 制 中 心 ,定义 和 实施 复杂 的 安全 规则 非常 容易 。 每 
个 规则 还 有 一 个 域 用 于 文档 记录 ,如 为 什么 制定 这 条 规则 , 何 时 制定 及 由 谁 制定 。 
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2. AXENT Raptor 


Raptor 是 代理 型 防火 墙 中 最 好 的 。 它 的 界面 易 读 、 易 操作 ,在 实时 日 志方 面 , 仅 次 于 
Firewall-1。Raptor 的 优势 还 在 于 其 代理 的 深度 和 广度 ,只 有 它 提 供 对 Microsoft NT 服 
务 器 的 保护 。 它 还 具有 SQL* NET 代理 功能 ,可 控制 对 Oracle 数据 库 的 访问 。Raptor 
在 SMTP 方面 做 得 很 好 ,而 且 它 是 唯一 可 防止 缓存 溢出 的 防火 墙 , 它 可 以 代理 NNTP( 网 
络 新 闻 协 议 ) 和 NTP( 网 络 时间 协 议 ) 。 


3. 天 网 防火 墙 个 人 版 


天 网 防火 墙 个 人 版 是 个 人 计算 机 使 用 的 网 络 安全 程序 ,根据 管理 者 设 定 的 安全 规则 
把 守 网 络 ,提供 强大 的 访问 控制 .信息 过 滤 等 功能 , 帮 你 抵挡 网 络 人 侵 和 攻击 ,防止 信息 汽 
露 。 天 网 防火 墙 把 网 络 分 为 本 地 网 和 Internet, 可 针对 来 自 不 同 网 络 的 信息 ,来 设置 不 同 
的 安全 方案 ,适合 于 任何 方式 上 网 的 用 户 。 

(1) 严密 的 实时 监控 

天 网 防火 墙 ( 个 人 版 ) 对 所 有 来 自 外 部 机 器 的 访问 请 求 进行 过 滤 , 发 现 非 授权 的 访问 
请 求 后 立即 拒绝 ,随时 保护 用 户 系 统 的 信息 安全 。 

(2) 灵活 的 安全 规则 

天 网 防火 墙 ( 个 人 版 ) 设 置 了 一 系列 安全 规则 ,允许 特定 主机 的 相应 服务 ,拒绝 其 他 主 
机 的 访问 要 求 。 用 户 还 可 以 根据 自己 的 实际 情况 ,添加 、 删 除 、 修 改 安全 规则 ,保护 本 机 
安全 。 

(3) 应 用 程序 规则 设置 

新 版 的 天 网 防火 墙 增加 对 应 用 程序 数据 包 进 行 底层 分 析 拦截 功能 , 它 可 以 控制 应 用 
程序 发 送 和 接收 数据 包 的 类 型 .通信 端口 ,并且 决定 拦截 还 是 通过 ,这 是 目前 其 他 很 多 软 
件 防火 墙 不 具有 的 功能 。 

(4) 详细 的 访问 记录 和 完善 的 报警 系统 

天 网 防火 墙 ( 个 人 版 ) 可 显示 所 有 被 拦截 的 访问 记录 ,包括 访问 的 时 间 、 来 源 、 类 型 、 代 
码 等 都 详细 地 记录 下 来 ,你 可 以 清楚 地 看 到 是 否 有 人 侵 者 想 连接 到 你 的 机 器 ,从 而 制定 更 
有 效 的 防护 规则 。 与 以 往 的 版 本 相 比 , 天 网 防火 墙 (个 人 版 ) 设 置 了 完善 的 声音 报警 系统 ， 
当 出 现 异 常情 况 的 时 候 , 系 统 会 发 出 预警 信号 ,从 而 让 用 户 做 好 防御 措施 。 


< | 【条 例 】 应 用 天 网 防火 培 防 范 木 马 


操作 步 又 


在 全 面 了 解 天 网 防火 墙 的 设置 之 后 ,再 来 讲述 一 下 其 防范 木马 的 主要 方法 。 对 于 木 
马 程序 第 一 次 运行 的 情况 ,可 采用 如 下 防御 方法 。 

第 1 步 ”如果 在 天 网 防火 墙 运行 时 ,木马 服务 器 程序 要 打开 网 络 端口 ,此 时 会 弹出 
“天 网 防火 墙 警告 信息 ”对 话 框 , 即 可 很 容易 检测 到 自己 运行 的 程序 是 否 被 绑 定 了 木马 。 

第 2 步 如 果 要 想 防止 某 程 序 使 用 网 络 资源 , 则 单 击 “ 天 网 防火 墙 警告 信息 ”信息 提 
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示 框 中 的 “禁止 按钮 即 可 ,这 样 ,攻击 者 就 无 法 通过 木马 服务 器 程序 来 对 被 攻击 者 的 机 器 
进行 远程 控制 了 。 而 对 于 那些 已 经 被 植 入 木马 到 计算 机 中 的 用 户 , 则 可 以 采用 如 下 的 防 
御 方 法 。 

第 3 步 在 天 网 防火 墙 主 窗口 中 单 击 “ 增 加 规则 ”按钮 , 即 可 打开 “增加 IP 规则” 对话 
框 ,在 “规则 ?选项 组 的 “名 称 ” 文 本 框 中 和 输入 “禁止 冰河 木马 的 入 侵 ”, 在 “说 明 "文本 框 中 给 
入 “记录 冰河 木马 入 侵 ,方法 是 记录 7626 端口 的 访问 情况 ,在 发 现 有 冰河 木马 入 侵 的 时 
候 , 同 时 发 声 "”。 在 “数据 包 方 向 ”下拉 列表 中 选择 “接收 ?选项 ,再 在 “对 方 IP 地 址 ”下 拉 列 
表 中 选择 “任何 地 址 ”选项 ,如 图 5.17 所 示 。 

第 4 步 在 “数据 包 协 议 类 型 "下 拉 列 表 中 选择 “TCP” 选 项 之 后 , 即 可 出 现 TCP 类 型 
框 ,在 “本 地 端口 "选项 组 中 设 定 端口 为 从 7626 到 7626, 如 图 5. 18 所 示 。 在 “数据 包 协 议 
类 型 ”下拉 列表 中 选择 UDP 项 之 后 ,将 出 现 UDP 类 型 框 ,如 图 5. 19 所 示 , 在 “本 地 端口 ” 
选项 组 中 设 定 端口 为 从 7626 到 7626。 

这 两 处 (TCP/UDP) 的 设置 主要 是 为 了 监听 7626 端口 而 进行 的 ,因为 冰河 木马 服务 
器 程序 就 是 使 用 这 个 端口 与 客户 端 程序 进行 通信 的 。 

第 5 步 在 “ 当 满 足 上 面条 件 时 "下拉 列 表 中 选择 “通行 "选项 之 后 ,再 在 “同时 还 ” 选 
项 组 中 选中 “记录 ”和 “发 声 ” 复 选 框 ,如 图 5.20 所 示 。 此 时 ,在 自 定 义 IP 规则 列表 框 中 就 
可 以 看 到 已 经 出 现 “ 禁 止 冰河 木马 的 入 侵 ” 规 则 了 ,如 图 5.21 所 示 。 


图 5.17 设置 数据 包 方 向 和 对 方 IP 地 址 图 5.20 设置 动作 


经 过 上 述 设置 之 后 ,只 要 有 其 他 计算 机 想 通 过 冰河 客户 站 程序 控制 本 地 计算 机 ,本 地 
计算 机 可 出 现 “1” 在 “天 网 防火 墙 ”图 标 上 下 不 断 闪烁 ,并 同时 还 发 出 警报 声音 。 单 击 “ 日 
志 ” 按 钮 之 后 ,天 网 防火 墙 可 显示 是 哪些 IP 通过 木马 访问 本 地 计算 机 的 提示 信息 。 


加 机 蚁 | 


安全 领 别 : 目 定义 


图 5.21 出 现 * 记 录 冰 河 入 侵 ” 规 则 


SS 


1. 应 用 天 网 防火 墙 开 放 BT 端口 


案例 分 析 


BT 使 用 的 端口 为 6881 一 6889 端口 这 9 个 端口 ,而 防火 墙 的 默认 设置 是 不 允许 访问 
这 些 端口 的 , 它 只 允许 BT 软件 访问 网 络 ,所 以 
有 时 在 一 定 程度 上 影响 了 BT 下 载 速 度 。 下 面 
应 用 无 网 防火 墙 开放 6881 一 6889 端口 。 


操作 步 又 


第 1 步 在 天 网 防火 墙 主 窗口 中 单 去“ 增 
加 规则 ”按钮 后 ,按照 如 图 5. 22 所 示 进行 设置 。 
单 击 “ 确 定 "按钮 完成 新 规则 的 建立 ,将 新 规则 | I lw le | 
命名 为 BT。 攻 
第 2 步 保存 设置 的 新 规则 ,然后 进行 在 | [人 Re 下 RE 
线 端口 测试 BT 的 连接 端口 是 否 已 经 开放 的 。 


端口 为 0 时 ， 不 作为 条 件 


当 满 足 上 面条 件 时 
[5 Ce | 
2. 打开 21 和 80 端口 | 


案例 分 析 
很 多 人 都 使 用 了 FTP 服务 器 软件 和 Web 图 5.22 修改 下 规 则 
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服务 器 ,防火 墙 不 仅 限 制 本 机 访问 外 部 的 服务 器 ,也 限制 外 部 计算 机 访问 本 机 。 为 了 
Web 和 FTP 服务 器 能 正常 使 用 ,我 们 就 必须 设置 防火 墙 。 


操作 步 又 
第 1 步 按 图 5.23 所 示 设 置 打开 Web 服务 80 端口 的 IP 规则 。 
第 2 步 单 击 “ 确 定 ” 按 钮 ,并 使 其 生效 。 


第 3 步 按 图 5.24 所 示 设 置 打开 FTP 服务 21 端口 的 IP 规则。 
第 4 步 单 击 “ 确 定 ” 按 钮 使 设置 生效 。 


于 TP 规则 修改 于 规则 修改 


| | 
本 地 纺 口 对 方 端口 一 TCP 标志 位 本 地 该 口 对 方 端口 一 站 TCF 标志 位 
Egat | 从 | mm 三 wx 厂 忆 振 R 租 序 MD || 从 厅 5 Cr 
后 到 打 一 区 Sm 厂 PSK 捷 到 所 一 区 SI 厂 FPSK 
隐 蚂 bess mst ve - a Ro [Cr Fw 
端口 为 0 时 ， 不 作为 条 件 应 口 为 0 时 ， 不 作为 条 件 
当 满 足 上 面条 件 时 三 当 满 足 上 面条 件 时 
[| Rp 三 加 [Sn Fest 
太 警 省 下 警 省 
EE 二 下 = 
mn | 亡 s | 
图 5.23 “IP 规则 修改 "对 话 框 图 5.24 打开 FTP 服务 21 端口 的 IP 规则 


5.5 防火 墙 选 购 策略 


选用 防火 墙 首先 要 明确 哪些 数据 是 必须 保护 的 ,这 些 数据 被 侵入 会 导致 什么 样 的 后 
果 及 网 络 不 同 区 域 需要 什么 等 级 的 安全 级 别 ,因此 ,首先 要 根据 信息 系统 安全 级 别 确定 。 
其 次 才 是 防火 墙 的 功能 ,选用 防火 墙 必须 与 网 络 接口 匹配 ,要 防止 你 所 能 想到 的 威胁 , 防 
火 墙 可 以 是 软件 或 硬件 模块 ,并 能 集成 于 网 桥 、 网 关 、 路 由 器 等 设备 之 中 。 选 用 防火 墙 的 
原则 主要 有 以 下 几 点 。 


1. 防火 墙 自身 的 安全 性 


大 多 数 人 在 选择 防火 墙 时 都 将 注意 力 放 在 防火 墙 如 何 控制 连接 及 防火 墙 支持 多 少 种 
服务 上 ,但 往往 忽略 一 点 ,防火 墙 也 是 网 络 上 的 主机 设备 ,也 可 能 存在 安全 问题 。 防 火 墙 
如 果 不 能 确保 自身 安全 , 则 防火 墙 的 控制 功能 再 强 也 终究 不 能 安全 保护 内 部 网 络 。 
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通常 防火 墙 都 安装 在 一 般 的 操作 系统 (如 UNIX、Windows 2000 等 ) 上 。 在 防火 墙 主 
机 上 执行 的 除了 防火 墙 软件 外 ,程序 、 系 统 核心 也 大 多 来 自 操作 系统 本 身 的 原 有 程序 。 当 
防火 墙 上 所 执行 的 软件 出 现 安全 漏洞 时 ,防火 墙 本 身 也 将 受到 威胁 。 此 时 ,任何 的 防火 墙 
控制 机 制 都 可 能 失效 。 因 为 当 一 个 黑客 取得 了 防火 墙 上 的 控制 权 以 后 ,黑客 几乎 可 以 为 
所 和 欲 为 地 修改 防火 墙 上 的 存 取 规 则 ,进而 侵入 更 多 的 系统 。 因 此 ,防火 墙 自身 仍 应 有 相当 
高 的 安全 保护 。 


2. 应 考虑 的 特殊 需求 


企业 安全 策略 中 往往 有 些 特 殊 需 求 ,不 是 每 一 个 防火 墙 都 会 提供 的 ,这 是 选择 防火 墙 
需 考 虑 的 因素 之 一 ,常见 的 需求 如 下 。 

(1) IP 转换 

进行 IP 转换 有 两 个 好 处 : 其 一 是 隐藏 内 部 网 络 真正 的 IP, 这 可 以 使 黑客 无 法 直接 攻 
击 内 部 网 络 ,也 是 要 强调 防火 墙 自身 安全 性 问题 的 主要 原因 ;其 二 是 可 以 让 内 部 网 络 保留 
IP, 这 对 许多 IP 不 足 的 企业 是 有 益 的 。 

(2) 双重 DNS 

当 内 部 网 络 使 用 没有 注册 的 IP 地 址 或 是 防火 墙 进 行 IP 转换 时 ,DNS 也 必须 经 过 转 
换 。 因 为 ,同样 的 一 个 主机 在 内 部 的 IP 与 给 予 外 界 的 IP 将 会 不 同 ,有 的 防火 墙 会 提供 双 
重 DNS, 有 的 则 必须 在 不 同 主机 上 各 安装 一 个 DNS。 

(3) 虚拟 专用 网 络 

虚拟 专用 网 络 (VPN) 可 以 在 防火 墙 与 防火 墙 或 移动 的 客户 机 间 对 所 有 网 络 传输 的 
内 容 加 密 ,建立 一 个 虚拟 通道 ,让 两 者 间 感 觉 是 在 同一 个 网 络 上 ,可 以 安全 且 不 受 拘束 地 
互相 存 取 , 这 对 总 公司 与 分 公司 之 间或 公司 与 外 出 的 员工 之 间 ,需要 直接 联系 又 不 愿 花费 
大 量 金钱 ,在 申请 专线 或 用 长 途 电话 拨号 连接 时 ,将 会 非常 有 用 。 

(4) 扫 毒 功能 

大 部 分 防火 墙 都 可 以 与 防 病毒 防火 墙 搭配 实现 扫 毒 功能 。 有 的 防火 墙 则 可 以 直接 集 
成 扫 毒 功能 ,差别 只 是 扫 毒 工作 是 由 防火 墙 完成 ,或 是 由 另 一 台 专 用 的 计算 机 完成 。 

(5) 特殊 控制 需求 

有 时 候 企业 会 有 特别 的 控制 需求 ,如 限制 特定 使 用 者 才能 发 送 电子 邮件 ,FTP 只 能 
GET 档案 不 能 PUT 档案 ,限制 同时 上 网 人 数 , 还 有 使 用 时 间或 Block Java、ActiveX 等 ， 
依 需 求 不 同 而 定 。 


3. 防火 墙 系统 的 稳定 性 和 可 靠 性 


就 一 个 成 熟 的 产品 来 说 ,保障 系统 的 稳定 性 是 最 基本 的 要 求 。 目 前 ,由 于 种 种 原因 ， 
国内 有 些 防火 墙 尚未 最 后 定型 或 没有 经 过 严格 的 .大量 的 测试 就 被 推 向 了 市 场 ,这 样 一 
来 ,其 稳定 性 就 可 想 而 知 了 。 防 火 墙 的 稳定 性 情况 从 厂家 的 宣传 材料 中 是 看 不 出 来 的 ,但 
可 以 从 一 些 渠道 获得 ,如 国家 权威 的 测评 认证 机 构 、 对 产品 的 咨询 ,调查 及 试用 、 厂 商 开 发 
研制 的 历史 及 实力 等 方面 。 

可 靠 性 对 防火 墙 设备 来 说 尤为 重要 ,其 直接 影响 受 控 制 网 络 的 可 用 性 。 提 高 可 靠 性 
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的 措施 一 般 是 提高 本 身 部 件 的 健壮 性 、 增 大 设计 阔 值 和 增加 元 余部 件 , 这 要 求 有 较 高 的 生 
产 标准 和 设计 宛 余 度 ,如 使 用 工业 标准 .电源 热 备份 ,系统 热 备 份 等 。 


4. 防火 墙 的 性 能 


高 性 能 是 防火 墙 的 一 个 重要 指标 , 它 直接 体现 了 防火 墙 的 可 用 性 ,也 体现 了 用 户 使 用 
防火 墙 所 需 付出 的 安全 代价 。 如 果 由 于 使 用 防火 墙 而 带 来 了 网 络 性 能 较 大 幅度 下 降 , 就 
意味 着 安全 代价 过 高 ,用 户 是 无 法 接受 的 。 一 般 来 说 ,防火 墙 加 载 上 百 条 规则 后 ,其 性 能 
下 降 不 应 超过 5%。 

对 通信 行为 的 有 效 控制 ,要 求 防火 墙 设备 有 一 系列 不 同 级 别 , 以 满足 不 同 用 户 的 各 类 
安全 控制 需求 。 防 火 墙 控 制 的 有 效 性 、 多 样 性 、 级 别 目标 的 清晰 性 、 制 定 的 难 易 性 和 经 济 
性 等 ,体现 着 防火 墙 的 高 效 和 质量 。 如 对 普通 用 户 , 只 要 对 IP 地 址 进行 过 滤 即 可 ;如 果 是 
内 部 有 不 同安 全 级 别 的 子 网 ,有 时 则 必须 允许 高 级 别 子 网 对 低级 别 子 网 进行 单 向 访问 ;如 
果 还 有 移动 用 户 的 话 , 还 要 求 能 根据 用 户 身 份 进行 过 滤 。 

防火 墙 过 滤 报 文 时 ,最 基础 的 是 针对 IP 地 址 进行 过 滤 。 而 IP 地 址 是 非常 容易 修改 
的 ,只 要 打听 到 内 部 网 里 谁 可 以 穿 过 防火 墙 ,那么 将 自己 的 IP 地 址 改 成 与 他 的 一 样 就 可 
以 了 。 这 就 需要 一 个 针对 用 户 身份 而 不 是 IP 地 址 进行 过 滤 的 办 法 。 目 前 防火 墙 上 常用 
的 一 次 性 口令 验证 机 制 ,通过 特殊 的 算法 ,保证 用 户 在 登录 防火 墙 时 ,口令 不 会 在 网 络 上 
泄露 ,这 样 ,防火 墙 就 可 以 确认 登录 上 来 的 用 户 确实 与 他 所 声称 的 一 致 。 

用 户 的 网 络 不 是 一 成 不 变 的 ,防火 墙 现在 可 能 主要 是 在 内 部 网 和 外 部 网 之 间 进 行 过 
滤 , 随 着 网 络 的 发 展 , 内 部 网 络 可 能 出 现 具有 不 同安 全 级 别 的 子 网 ,这 时 就 需要 在 子 网 之 
间 过 滤 。 因 此 ,在 购买 防火 墙 时 必须 清楚 ,是 否 可 以 增加 网 络 接口 ,是 否 具 有 扩展 性 。 

随 着 网 络 技术 的 发 展 和 黑客 攻击 手段 的 不 断 变化 ,防火 墙 也 必须 不 断 地 进行 升级 ,此 
时 支持 软件 升级 就 很 重要 了 。 如 果 不 支 持 软件 升级 的 话 ,为 了 抵御 新 的 攻击 手段 ,用 户 就 
必须 进行 硬件 上 的 更 换 ,而 在 更 换 期 间 用 户 的 网 络 是 不 设防 的 ,同时 也 要 为 此 花费 更 多 
的 钱 。 


5. 防火 墙 配置 的 方便 性 


在 网 络 入 口 和 出 口 处 安装 新 的 网 络 设备 是 比较 复杂 的 ,这 意味 着 必须 修改 几乎 所 有 
现 有 设备 的 配置 ,因此 ,应 选用 方便 配置 的 、 支 持 透明 通信 的 防火 墙 。 它 在 安装 时 不 需要 
对 原 网 络 配置 做 任何 改动 ,所 做 的 工作 只 相当 于 连接 一 个 网 桥 或 HUB。 需 要 时 ,两 端 连 
线 就 可 以 工作 ,不 需要 时 ,将 网 线 恢复 原状 即 可 。 

防火 墙 的 管理 在 充分 考虑 安全 需要 的 前 提 下 ,必须 提供 更 方便 .灵活 的 管理 方式 和 方 
法 。 通 常 体现 为 管理 途径 ,管理 工具 和 管理 权限 。 防 火 墙 设备 首先 是 一 个 网 络 通信 设备 ， 
管理 途径 的 提供 要 兼顾 通常 网 络 设备 的 管理 方式 。 管 理工 具 主 要 为 GUI 类 管理 器 ,用 它 
管理 很 直观 ,这 对 于 设备 的 初期 管理 和 不 太 熟 悉 的 管理 人 员 来 说 是 一 种 有 效 的 管理 方式 。 
权限 管理 是 管理 本 身 的 基础 ,但 是 ,应 防止 严格 的 权限 认证 可 能 带 来 的 管理 方便 性 的 
降低 。 

以 上 就 是 选 购 防火 墙 时 需要 注意 的 一 些 问题 ,同时 要 明白 ,没有 一 种 技术 可 以 百 分 之 
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百 地 解决 网 络 上 的 所 有 问题 。 网 络 安全 会 受到 许多 因素 的 影响 ,诸如 安全 策略 、 职 员 的 技 
术 背 景 . 费 用 及 估计 可 能 受到 的 攻击 等 。 只 有 正确 地 认识 防火 墙 ,并 合理 使 用 , 才 是 最 安 
全 的 。 
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防火 墙 是 用 于 保护 计算 机 网 络 中 敏感 数据 不 被 窍 取 和 算 改 的 计算 机 软 硬 件 系统 。 

防火 墙 技术 分 为 包 过 滤 防 火 墙 技 术 和 代理 防火 墙 技术 。 

防火 墙 体系 应 该 是 多 种 解决 不 同 问题 的 技术 的 有 机 组 合 。 常 见 的 配置 有 屏蔽 路 由 
器 、 双 宿主 主机 网 关 、 屏 项 主机 网 关 、 屏 蔽 子 网 等 几 种 。 

防火 墙 在 选 购 时 应 注意 策略 ,如 何 选 购 一 个 安全 ,稳定 .可 靠 的 防火 墙 产品 是 非常 重 
要 的 。 

防火 墙 是 目前 用 来 实现 网 络 安全 措施 的 一 种 主要 手段 。 


本 章 练 习 

一 、 填 空 是 

1. 常用 的 防火 墙 可 以 分 为 和 两 大 类 。 

2. 代理 防火 墙 作用 层 。 

3. 双 宿 主 主 机 网 关中 的 双 宿 主 主机 是 一 台 安 装 有 的 计算 机 。 

4. 屏蔽 主机 网 关 由 和 组 成 。 

5. 屏蔽 子 网 系统 结构 是 在 基础 上 再 加 上 一 个 屏蔽 路 由 器 构成 。 
-、 选 择 题 

1. 防火 墙 自身 有 一 些 限制 , 它 不 能 阻止 威胁 。 

工 . 外 部 攻击 开 . 内 部 攻击 焉 .病毒 感染 

A. I B. I 和 I C. 卫生 D. 全 部 


2. 关于 防火 墙 ,以 下 说 法 错误 的 是 。 
A. 防火 墙 能 隐藏 内 部 IP 地 址 
B. 防火 墙 能 控制 进出 内 网 的 信息 流向 和 信息 包 
C. 防火 墙 能 提供 VPN 功能 
D. 防火 墙 能 阻止 来 自 内 部 的 威胁 


3 技术 不 是 实现 防火 墙 的 主流 技术 。 
A. 包 过 滤 技术 B. 应 用 级 网 关 技 术 
C. 代理 服务 器 技术 D. NAT 技术 


4. 目前 ,防火 墙 一 般 可 以 提供 4 种 服务 ,它们 是 。 
A. 服务 控制 .方向 控制 .目录 控制 和 行为 控制 
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B. 服务 控制 、 网 络 控制 .目录 控制 和 方向 控制 
C. 方向 控制 ,行为 控制 .用 户 控制 和 网 络 控 制 
D. 服务 控制 .方向 控制 .用 户 控制 和 行为 控制 
5. 防火 墙 采 用 的 最 简单 的 技术 是 S 
A. 安装 保护 卡 B. 隔离 C. 包 过 滤 D. 设置 进入 密码 


三 、 简 答题 


. 什么 是 防火 墙 ? 防火 墙 分 为 哪 几 类 ? 
防火 墙 有 哪些 功能 特点 ? 

. 试 述 包 过 滤 防 火 墙 技术 的 原理 及 特点 。 
. 试 述 代理 防火 墙 技术 的 原理 及 特点 。 
. 常见 的 防火 墙 体 系 结构 有 哪 几 种 ? 

. 选 购 防火 墙 应 注意 哪些 ? 


TTL 


实 训 ”使 用 瑞星 防火 墙 防御 网 络 攻 击 


实 训 目 的 


(1) 了 解 防火 墙 系统 的 基本 原理 。 
(2) 掌握 瑞星 防火 墙 的 使 用 方法 。 


实 训 环境 


(1) 连 上 Internet 的 主机 或 局 域 网 主机 。 
(2) Windows XP/2003 系统 。 
(3) 瑞星 防火 墙 2012 个 人 版 。 


实 训 步 又 


第 1 步 ” 认识 瑞星 防火 墙 软件 后 ,选择 “开始 ”>“ 所 有 程序 ”一 “瑞星 防火 墙 ”命令 即 
可 启动 瑞星 防火 墙 ,其 主 界面 如 图 5. 25 所 示 。 

第 2 步 设置 防火 墙 常 规 选项 。 

(1) 网 络 防 护 设 置 

启动 防火 墙 主 程序 , 单 击 “ 设 置 " 按 钮 ,进入 “设置 "窗口 ,选择 网络 防护 ”选项 ,如 
图 5. 26 所 示 ,可 以 进行 以 下 设置 。 

QO 程序 联网 控制 。 

@ 网 络 攻击 拦截 。 

@ 恶意 网 址 拦截 。 

@ ARP 欺骗 防御 。 

@ 对 外 攻击 拦截 。 


聘 星 防火 培 已 连续 保护 您 的 网 络 安全 : 


今日 已 拉 项 伯 鱼 网站 : 
今日 已 拦截 挂 马 网 站 : 
今日 已 拦 埠 网 络 攻击 


+ 璃 星 个 人 隐私 保护 方 守 
上 瑞星 认证 培训 火热 握 各 


, 瑞星 杀毒 pps, 


瑞 i 通 人 全 对 大 的 
i ee 和 
从 1 
ET 全 二 二 有 a 
直人 站 和 信条、 动人 守 和 
国 对 外 攻击 拦 二 
网 8 数据 保护 
@ ey 回 加 入 瑞星 “ 云 安全 ”( Cloud Secerity ) 计划 
由 pr 
让 请 准确 填写 你 的 邮箱 地 址 填写 邮箱 地 址 的 好 处 
国 软件 安全 [ 
了 “去 安全 "计划 


图 5.26 “网 络 防护 ”界面 


@ 网 络 数据 保护 。 

@ IP 规则 设置 。 

(2) 升级 设置 

单 击 “设置 ?按钮 ,进入 设置 界面 ,选择 “升级 设置 ?选项 ,进入 图 5. 27 所 示 的 “升级 设 
置 "界面 ,可 以 进行 以 下 设置 。 

OO 使 用 Internet Explorer 的 设置 连接 网 络 。 


加 合用 Internet Explorer 的 设置 连接 同 络 


8 攻击 拉 基 通过 局 域 网 或 直 摇 这 接 访问 同 络 
本 意 网 引 拉 基 通过 代理 服务 器 访问 网 络 
三 设置 代理 服务 器 
代理 服务 器 的 IF 地 址 : 


代理 服务 器 端口 号 : 


需要 身份 验证 
用 户 名 : 


由 -各 高 级 设置 


守 码 : 


提示 : 通过 点 击 右 便 控 委 ,可 以 测试 网 络 连通 人性， 。 [这 接 


图 5.27 “升级 设置 "界面 


@ 通过 局 域 网 或 直接 连接 访问 网 络 。 

@ 通过 代理 服务 器 访问 网 络 。 

(3) 高 级 设置 

单 击 “ 设 置 " 按 钮 ,进入 设置 界面 ,选择 “高 级 设置 "选项 ,进入 图 5. 28 所 示 的 “高 级 设 
置 " 界 面 ,可 以 进行 以 下 设置 。 


男人 妨 网 络 防护 
让 部 升 妇 设 置 
高 要 设置 


cr 
sy” 
加 显示 网 页 信息 
回 旺 示 各 录 图 祭 
BB 志 
B 志 保利 加 “| 国 天 
回 记录 规则 修改 日 志 
回 记录 系统 动作 日 志 


图 5.28 “高 级 设置 "界面 


Q@ 软件 安全 。 
@“ 云 安全 ”计划 。 


> EI 


第 3 步 首页 网 络 安全 监控 。 进 入 图 5. 29 所 示 的 “首页 ”选项 卡 。 在 该 界面 下 ,可 以 
对 防火 墙 工作 情况 进行 监控 。 


瑞星 防火 培 已 连续 保护 您 的 同 络 安全 : 


今日 已 拦 才 匆 鱼网 站 ; 
今日 已 拦 区 挂 马 网 站 ; 
今日 已 拦 者 网 络 取 击 : 


联网 程序 -站 眉 起 刁 忆 忆 忆 如 号 坚 口 


遍 在 线 服 务 《 服务 电话 : 400-660-9866》 


图 5.29 “首页 ”界面 


第 4 步 设置 网 络 防 护 。 选 择 “ 网 络 防护 ”选项 卡 , 进 入 图 5. 30 所 示 的 “网 络 防护 ” 界 
面 。 在 此 处 对 网 络 防护 的 状态 及 具体 内 容 进行 设置 。 


于 和 瑞星 个 人 防火 二 


[am WE 


状态 : 开 
状态 : 
状态 : 
依托 瑞星 “智能 云 
拦 戴 和 钓鱼 、 挂 马 网 站 ,保护 个 人 信息 安全 。 


关闭 || 设 
ARP 梁 骗 防御 状 考 : 
对 外 玫 击 拦 埠 状 寿 : 了 + 瑞星 企业 安全 解决 方案 


同 络 数 笑 保护 状态 : 天 


+ 瑞星 个 人 隐秘 保护 方案 
+ 瑞星 认证 培训 火热 所 名 
IP 规 则 3 置 状态: 
英里 亲 才 .28 
永久 免责 


饥 在 问 服 备 〔 服务 电话 : 400- 


图 5.30 “网 络 防护 ”界面 


第 5 步 ”联网 程序 监控 。 选 择 “ 联 网 程序 ”选项 卡 , 进 入 图 5. 31 所 示 的 “联网 程序 ” 界 


面 ,在 此 对 联网 程序 的 状态 进行 监控 。 


瑞星 个 人 防火 墙 


首页 聊 


System 


wandoula_daemon exe 


360Tray exe 


Svchostexe 


svchostexe + 瑞 星 会 业 安 全 解决 方案 
个 人 隐秘 保护 方案 


svchostexe y 


+ 瑞星 认证 培训 火热 报 各 
svchostexe 


瑞星 杀毒 ge, 
RawmonD exe 17675M 


RavMonD.exe 1.55K 
识 为 “安全 ”的 程序 


图 5.31 “联网 程序 "界面 


知识 目标 

。 掌握 入 侵 检 测 的 概念 、 功 能 特点 和 安全 性 。 
。 了 解 入 侵 检 测 系统 的 分 类 。 

。 了 解 常用 的 入 侵 检测 系统 产品 。 

技能 目标 

。 能 使 用 常用 的 入 侵 检 测 系统 。 

。 能 选 购 、 安 装 和 维护 入 侵 检测 系统 。 


6.1 入 侵 检 测 技术 简介 


1. 什么 是 入 侵 检测 系统 


入 侵 检测 系统 (intrusion detection system,IDS) 是 为 保证 计算 机 系统 的 安全 而 设计 
与 配置 的 一 种 能 够 及 时 发 现 并 报告 系统 中 未 授权 或 异常 现象 的 系统 ,是 一 种 用 于 检测 计 
算 机 网 络 中 违反 安全 策略 行为 的 系统 。 入 侵 和 滥用 都 是 违反 安全 策略 的 行为 。 

假如 防火 墙 是 一 幢 大 楼 的 门 锁 , 即 IDS 就 是 这 幢 大 楼 里 的 监视 系统 。 一 旦 小 偷 候 窗 
进入 大 楼 ,或 内 部 人 员 有 越界 行为 ,只 有 实时 监视 系统 才能 发 现 情况 并 发 出 警告 。 入 侵 检 
测 系 统 能 够 识别 出 任何 不 希望 有 的 活动 ,这 种 活动 可 能 来 自 于 网 络 外 部 和 内 部 。 入 侵 检 
测 系 统 的 应 用 ,能 使 在 入 侵 攻击 对 系统 发 生 危 害 前 检测 到 入 侵 攻 击 , 并 利用 报警 与 防护 系 
统 驱逐 入 侵 攻击 。 在 入 侵 攻击 的 过 程 中 ,能 减少 入侵 攻击 所 造成 的 损失 。 在 被 人 侵 攻击 
后 ,收集 入 侵 攻 击 的 相关 信息 ,作为 防范 系统 的 知识 ,添加 到 知识 库 内 ,以 增强 系统 的 防范 
能 力 。 

入 侵 检测 系统 处 于 防火 墙 之 后 对 网 络 活动 进行 实时 检测 。 在 许多 情况 下 ,由 于 可 以 
记录 和 禁止 网 络 活动 ,所 以 人 侵 检测 系统 是 防火 墙 的 延续 。 它 们 可 以 与 防火 墙 和 路 由 器 
配合 工作 。 应 当 理解 入 侵 检 测 系统 是 独立 于 防火 墙 工作 的 。 

人 侵 检 测 系统 与 系统 扫描 器 (system scanner) 不 同 。 系 统 扫描 器 是 根据 攻击 特征 数 
据 库 来 扫描 系统 漏洞 的 , 它 更 关注 配置 上 的 漏洞 而 不 是 当前 进出 主机 的 流量 。 在 遭受 攻 
击 的 主机 上 ,即使 正在 运行 扫描 程序 ,也 无 法 识别 这 种 攻击 。 
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入 侵 检测 系统 扫描 当前 网 络 的 活动 ,监视 和 记录 网 络 的 流量 ,根据 定义 好 的 规则 来 过 
滤 从 主机 网 卡 到 网 线 上 的 流量 ,提供 实时 报警 。 网 络 扫 描 器 检测 主机 上 先前 设置 的 漏洞 ， 
而 IDS 监视 和 记录 网 络 流量 。 如 果 在 同一 台 主机 上 运行 IDS 和 扫描 器 的 话 ,配置 合理 的 
IDS 会 发 出 许多 报警 。 


2. 入 侵 检测 的 功能 


(1) 监视 分 析 用 户 和 系统 的 行为 。 

(2) 审计 系统 配置 和 漏洞 。 

(3) 识别 攻击 行为 。 

(4) 评估 人 敏感 系统 和 数据 的 完整 性 。 

(5) 对 异常 行为 进行 统计 。 

(6) 安装 诱骗 服务 器 ,记录 非法 入 侵 行为 。 

(7) 进行 审计 跟踪 ,识别 违反 安全 法 规 的 行为 。 


3. 入 侵 检测 系统 的 需求 特性 


(1) 可 靠 性 。 检 测 系统 必须 在 无 人 监控 的 情况 下 连续 运行 。 系 统 必须 是 可 靠 的 ,这 
样 才 可 以 允许 它 运行 在 被 检测 的 系统 环境 中 。 

(2) 适应 性 。 检 测 系统 必须 能 随时 追踪 系统 环境 的 改变 。 

(3) 有 效 性 。 能 检测 系统 的 报告 错误 或 漏 报 控制 在 一 定 的 范围 内 。 

(4) 安全 性 。 检 测 系统 必须 难于 被 欺骗 ,能 够 保护 自身 的 安全 。 

(5) 容错 性 。 检 测 系 统 的 容错 要 求 即使 在 系统 崩溃 的 情况 下 ,检测 系统 仍 能 保留 
下 来 。 


4. 入 侵 检 测 的 发 展 


入 侵 检测 系统 需要 实现 的 目标 是 发 现 网 络 上 所 有 的 异常 行为 与 错误 ,20 年 来 ,入 侵 
检测 系统 都 是 围绕 着 这 个 观念 来 发 展 的 。 但 最 近 , 对 入 侵 检测 系统 的 观点 有 了 较 大 的 转 
变 ,入 侵 检测 系统 逐渐 普及 并 结合 到 其 他 的 信息 系统 安全 的 各 部 分 中 。 

人 侵 检测 系统 的 概念 诞生 于 1980 年 ,James Anderson 发 表 了 文章 Computer 
Security Threat Monitoring and Surveillance ,这 篇 文章 介绍 了 对 网 络 上 用 户 的 行为 及 
信息 进行 审计 的 一 种 方法 。 随 着 文章 的 发 表 , “检测 ”这 个 概念 逐渐 被 用 户 所 接受 。 
Anderson 对 于 入 侵 检测 的 理论 成 为 人 侵 检 测 系统 设计 及 开发 的 基础 ,他 的 工作 成 为 基于 
主机 的 入 侵 检 测 系统 和 其 他 入 侵 检测 系统 的 出 发 点 。 

在 1983 年 ,SRI 组织 和 Dorothy 博士 开始 了 为 一 个 政府 项 目 而 工作 ,将 一 些 新 的 技 
术 应 用 到 入 侵 检 测 系统 的 开发 当中 。 他 们 的 目标 是 利用 政府 的 大 型 计算 机 对 用 户 的 行为 
踪迹 进行 分 析 , 然后 在 分 析 结 果 的 基础 上 以 建立 用 户 的 行为 的 轮廓 模型 。 一 年 之 后 ， 
Dorothy 博士 帮助 建立 起 了 第 一 个 人 侵 检测 的 模型 : 人 侵 检 测 专家 系统 (intrusion 
detection expert system,IDES) 。 这 项 工作 为 和 人 侵 检测 技术 的 发 展 提供 了 和 良好 的 基础 并 
带动 了 人 侵 检测 基础 的 发 展 。 
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1984 年 ,SRI 开发 了 一 种 方法 来 跟踪 和 分 析 包 含 ARPANET 用 户 身份 验证 信息 的 
审计 数据 。 很 快 ,SRI 在 与 海军 的 一 份 合同 中 首次 实现 了 入 侵 检测 系统 。 入 侵 检测 专家 
系统 使 用 的 是 Dorothy 博士 在 SRI 工作 期 间 的 研究 成 果 。Dorothy 博士 发 表 的 这 个 有 决 
定性 的 成 果 , 一 个 人 侵 检测 系统 模型 ,为 开发 商业 化 入 侵 检测 系统 提供 了 必 不 可 少 的 信 
息 , 她 的 文章 成 为 人 侵 检 测 系统 发 展 的 基础 。 

1988 年 ,在 美国 空军 一 个 名 为 “干草 堆 ” 的 项 目 中 , 另 一 种 版 本 的 入 侵 检 测 系 统 也 被 
实现 了 。 这 个 项 目的 产品 是 一 个 通过 分 析 审 计数 据 并 与 比较 其 中 是 否 存 在 已 定义 的 内 容 
来 工作 的 入侵 检测 系统 。 一 位 前 “干草 堆 ? 项 目的 成 员 说 :“ 在 一 大 堆 数 据 中 查找 是 否 有 
特点 细节 的 行为 就 如 同 在 干草 堆 中 寻找 一 根 针 。” 

在 这 之 后 ,通过 在 网 络 中 同时 布置 多 个 人 侵 检测 系统 协同 工作 的 方式 也 诞生 了 ,这 种 
方式 被 称 为 分 布 式 人 侵 检测 系统 (distributed intrusion detection system,DIDS) 。 分 布 式 
入 侵 检 测 系 统 是 原 有 入 侵 检测 系统 的 扩展 ,这 样 通过 跟踪 客户 机 的 方式 比 原来 监视 服务 
器 的 方式 要 好 得 多 。 最 后 ,在 1989 年 ,“ 干 草 堆 ” 项 目 发 展 形成 了 一 个 商业 公司 ,“ 干 草 堆 ” 
实验 室 同 时 发 布 使 用 新 一 代 技 术 的 产品 Stalker, Stalker 是 一 个 基于 网 络 的 入 侵 检 测 
系统 。 

进入 20 世纪 90 年 代 后 ,网 络 入 侵 检测 系统 的 概念 被 提出 。1990 年 ,Heberlein 作为 
最 主要 的 开发 者 开发 出 了 网 络 安全 监视 器 (network security monitor, NSM) ,这 就 是 第 
一 个 网 络 入 侵 检 测 系 统 。 这 种 新 的 方式 引起 了 入 侵 检测 行业 及 风险 投资 的 极 大 兴 
Heberlein 的 贡献 其 至 影响 到 了 分 布 式 入 侵 检测 系统 项 目 发 展 方向 ,加 入 “干草 堆 ” 开 发 小 
组 ,他 提出 了 第 一 个 混合 人 侵 检 测 系 统 的 想法 ,他 介绍 的 网 络 入 侵 检 测 系 统 引起 入 侵 检测 
行业 的 一 次 革命 ,并 将 “干草 堆 " 项 目 带 往 商 业 道路 上 。 

和 人 侵 检测 技术 的 商业 化 最 早 是 在 1990 年 年 初 ,“ 干 草 堆 ” 实 验 室 第 一 个 推出 一 个 商业 
化 的 入 侵 检测 工具 Stalker。Stalker 是 一 个 标准 的 基于 主机 的 入 侵 检测 系统 ,而 正在 开 
发 的 SAIC 则 是 另 一 种 形式 的 人 侵 检测 系统 , 称 为 计算 机 错误 检测 系统 (computer misuse 
detection system,CMDS) 。 同 时 ,美国 空军 的 密码 技术 中 心 也 开发 出 一 种 审计 安全 衡量 
系统 (audit security measurement system,ASIM) ,用 于 监视 美国 空军 网 络 传输 数据 。 与 
其 他 的 网 络 人 侵 检测 系统 相 比 ,审计 安全 衡量 系统 的 优势 在 于 可 量 测 性 和 便于 携带 。 审 
计 安 全 衡量 系统 也 是 第 一 个 将 硬件 与 软件 结合 的 网 络 入 侵 检 测 解决 方案 。 审 计 安 全 衡量 
系统 被 美国 空军 计算 机 安全 紧急 响应 中 心 广泛 应 用 在 全 世界 各 地 。ASIM 项 目的 开发 小 
组 在 1994 年 也 发 展 成 了 一 家 商业 公司 the Wheel Group, 他 们 的 产品 NetRanger, 是 第 一 
个 可 用 于 商业 化 的 网 络 入 侵 检测 系统 。 

入 侵 检测 市 场 逐 渐 扩大 并 开始 带 来 收入 是 在 1997 年 左右 ,在 这 一 年 ,Cisco 公司 认识 
到 网 络 人 侵 检测 的 重要 性 并 收购 了 the Wheel Group, 并 开始 向 客户 提供 安全 解决 方案 。 
同样 ,网 络 安全 行业 的 领导 者 ,ISS 公司 也 开发 出 了 自己 的 网 络 和 人 侵 检 测 系 统 
RealSecure。 一 年 后 ,第 一 个 可 视 化 基于 主机 入 侵 检 测 系统 的 公司 (Centrax 的 公司 ) 与 
“干草 堆 ” 实 验 室 合并 。 从 此 ,入 侵 检 测 的 世界 逐渐 为 市 场所 主导 。 

由 于 入 侵 检测 系统 的 市 场 在 近 几 年 中 飞速 发 展 ,许多 公司 投入 到 这 一 领域 上 来 。 除 
了 国外 的 ISS、Axent、NFR、Cisco 等 公司 外 ,国内 也 有 数 家 公司 (如 中 联 绿 盟 .中 科 网 威 
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等 ) 推 出 了 自己 相应 的 产品 。 但 就 目前 而 言 ,入 侵 检测 系统 还 缺乏 相应 的 标准 。 有 两 个 组 
织 试 图 对 IDS 进行 标准 化 工作 : IETF 的 IDWG (intrusion detection working group) 和 
CIDF(common intrusion detection framework) ,但 其 工作 进展 非常 缓慢 , 尚 没 有 被 广泛 
接受 的 标准 出 台 。 


6.2 ”入侵 检测 系统 的 组 成 


621 入 侵 检测 系统 的 组 成 


从 功能 上 讲 , 入 侵 检测 系统 由 探测 器 (sensor)、 分 析 器 (analyzer) 和 用 户 接口 Cuser 
interface) 组 成 。 下 面 分 别 对 这 3 个 部 分 进行 简要 介绍 。 


1. 探测 器 


探测 器 主要 负责 收集 数据 。 探 测 器 的 输入 数据 包括 任何 可 能 包含 人 侵 行 为 线索 的 数 
据 , 如 网 络 数据 包 、 日 志文 件 和 系统 调用 记录 等 。 探 测 器 将 这 些 数 据 收集 起 来 ,然后 发 送 
到 分 析 器 进行 处 理 。 


2. 分 析 器 


分 析 器 又 可 称 为 检测 引擎 (detection engine) , 它 负责 从 一 个 或 多 个 探测 器 处 接收 信 
息 , 并 通过 分 析 来 确定 是 否 发 生 了 非法 入 侵 活动 。 分 析 器 组 件 的 输出 是 标识 入 侵 行为 是 
耕 发 生 的 指示 信号 ,如 一 个 警告 信号 ,该 指示 信号 中 还 可 能 包括 相关 的 证 据 信 息 。 男 外 ， 
分 析 器 组 件 还 能 够 提供 关于 可 能 反应 措施 的 信息 。 


3. 用 户 接口 


IDS 的 用 户 接口 使 得 用 户 易于 观察 系统 的 输出 信息 ,并 对 系统 行为 进行 控制 。 在 某 
些 系统 中 ,用 户 接 口 又 可 称 为 “管理 器 ”“ 控 制 器 ”或 者 “控制 台 ” 等 。 

除了 以 上 3 个 必要 组 件 之 外 , 某 些 IDS 可 能 还 包括 一 个 所 谓 的 “ 蜜 锐 ”(honeypot) 诱 
饵 机 。 该 诱饵 机 被 设计 和 配置 成 为 具有 明显 的 系统 安全 漏洞 .并 对 攻击 者 明显 可 见 。 诱 
人 饵 机 能 够 作为 IDS 中 一 个 专门 提供 给 攻击 者 进行 入侵 的 探测 器 来 使 用 ,从 而 提供 关于 某 
次 攻击 行为 的 发 生 过 程 和 相关 信息 。 


622 入 侵 检测 系统 的 类 型 


从 技术 上 看 ,入 侵 检 测 系统 可 以 分 为 基于 主机 的 入 侵 检 测 系统 、 基 于 网 络 的 入 侵 检 测 
系统 、 混 合 人 侵 检测 和 网 络 节点 的 人 侵 检测 等 。 


1. 基于 主机 的 入 侵 检测 


基于 主机 的 人 侵 检测 (host-based intrusion detection, HID) 系 统 用 于 监视 ,检测 对 于 
主机 的 攻击 行为 ,并 通知 用 户 并 进行 响应 。 有 些 功 能 强大 的 工具 甚至 能 提供 审计 策略 管 
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理 与 集中 控制 ,提供 数据 对 比 、 统 计 与 分 析 支持 。 

基于 主机 的 人 侵 检测 设备 通常 是 安装 在 被 重点 检测 的 主机 之 上 ,其 目标 主要 是 主机 
系统 和 本 地 用 户 ,主要 是 对 该 主机 的 网 络 实时 连接 及 系统 审计 日 志 进 行 智能 分 析 和 判断 。 
如 果 其 中 主体 活动 十 分 可 疑 (特征 或 违反 统计 规律 ), 入 侵 检 测 系统 就 会 采取 相应 的 措施 。 
基于 主机 的 人 侵 检测 系统 的 结构 如 图 6. 1 所 示 。 


目标 系统 


审计 记录 收集 方法 


审计 记录 预 处 理 


3 


误 用 检测 异常 检测 


i 
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审计 记录 数据 库 


图 6.1 基于 主机 的 入 侵 检 测 系 统 


(1) 基于 主机 的 入 侵 检测 系统 对 分 析 “ 可 能 的 攻击 行为 ”非常 有 用 。 举 例 来 说 ,有 了 时 
候 它 除了 指出 入 侵 者 试图 执行 一 些 “ 和 危险 的 命令 "之 外 ,还 能 分 辨 入 侵 者 干 了 什么 事 ,他们 
运行 了 什么 程序 .打开 了 哪些 文件 ,执行 了 哪些 系统 调用 。 基 于 主机 的 入侵 检测 系统 与 基 
于 网 络 的 入 侵 检测 系统 相 比 通常 能 够 提供 更 详尽 的 相关 信息 。 

(2) 基于 主机 的 入 侵 检测 系统 通常 情况 下 比 网 络 入 侵 检 测 系统 误 报 率 要 低 , 因 为 检 
测 在 主机 上 运行 的 命令 序列 比 检测 网 络 流量 更 简单 ,系统 的 复杂 性 也 少 得 多 。 

(3) 基于 主机 的 入 侵 检 测 系 统 可 安装 在 那些 不 需要 广泛 的 入侵 检测 、 传 感 器 与 控制 
人 台 之 间 的 通信 带宽 不 足 的 情况 下 。 主 机 入 侵 检测 系统 在 不 使 用 诸如 “停止 服务 ”"“ 注 销 用 
户 ” 等 响应 方法 时 风险 较 少 。 

基于 主机 的 入 侵 检 测 系统 的 弱点 如 下 。 

(1) 基于 主机 的 入 侵 检 测 系统 安装 在 我 们 需要 保护 的 设备 上 。 例 如 , 当 一 个 数据 库 
服务 需要 保护 时 ,就 要 在 服务 器 本 身 安装 入侵 检测 系统 。 这 会 降低 应 用 系统 的 效率 。 

(2) 基于 主机 的 入 侵 检 测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没 
有 配置 日 志 功能 , 则 必须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 
影响 。 

(3) 全 面 安装 基于 主机 的 人 侵 检测 系统 代价 较 大 ,企业 中 很 难 将 所 有 主机 用 主机 入 
侵 检测 系统 保护 ,只 能 选择 分 主机 保护 。 那 些 未 安装 主机 入 侵 检测 系统 的 机 器 将 成 为 保 
护 的 盲点 ,和 人 侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 

(4) 基于 主机 的 和 人 侵 检 测 系统 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 。 
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对 入 侵 行为 分 析 的 工作 量 将 随 着 主机 数目 增加 而 增加 。 
2. 基于 网 络 的 入 侵 检测 


基于 网 络 的 和 人 侵 检测 (network intrusion detection,NID) 是 通过 分 析 主 机 之 间 网 络 
上 传输 的 信息 来 工作 的 。 网 络 人 侵 检测 设备 能 截取 利用 不 同 传输 介质 及 不 同 协议 进行 传 
输 的 数据 包 ( 大 部 分 人 侵 检测 系统 主要 是 针对 TCP/IP 协议 ) 。 

基于 网 络 的 人 侵 检测 设备 (NIDS) 放 置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 
种 数据 包 。 对 每 一 个 数据 包 或 可 疑 的 数据 包 进 行 特征 分 析 。 如 果 数 据 包 与 产品 内 置 的 某 
些 规 则 吻合 ,入 侵 检测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连接 。 目 前 ,大 部 分 人 侵 检测 
产品 是 基于 网 络 的 。 基 于 网 络 的 入 侵 检测 系统 是 根据 网 络 流量 .网 络 数据 包 和 协议 来 分 
析 检 测 人 侵 行 为 的 。 其 基本 过 程 如 图 6. 2 所 示 。 
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图 6.2 基于 网 络 的 入 侵 检测 系统 


基于 网 络 的 人 侵 检测 系统 的 优点 如 下 。 

(1) 基于 网 络 的 入 侵 检 测 系统 能 够 检测 那些 来 自 网 络 的 攻击 , 它 能 够 检测 到 超过 授 
权 的 非法 访问 。 

(2) 一 个 基于 网 络 的 入侵 检测 系统 不 需要 改变 服务 器 等 主机 的 配置 。 由 于 它 不 会 在 
业务 系统 的 主机 中 安装 额外 的 软件 ,从 而 不 会 影响 这 些 机 器 的 CPU、1/O 与 磁盘 等 资源 
的 使 用 ,不 会 影响 业务 系统 的 性 能 。 

(3) 由 于 基于 网 络 的 人 侵 检测 系统 不 像 路 由 器 、 防 火 墙 等 关键 设备 那 种 方式 工作 , 它 
不 会 成 为 系统 中 的 关键 路 径 。 基 于 网 络 的 人 侵 检 测 系统 发 生 故 障 不 会 影响 正常 业务 的 运 
行 。 安 装 基于 网 络 的 人 侵 检测 系统 的 风险 比 安装 基于 主机 的 入 侵 检测 系统 的 风险 小 
得 多 。 

(4) 基于 网 络 的 入 侵 检 测 系统 近 几 年 有 向 专门 设备 发 展 的 趋势 ,安装 一 个 基于 网 络 
的 入 侵 检 测 系统 非常 方便 ,只 需 将 定制 的 设备 接 上 电源 ,做 很 少 的 配置 ,将 其 连 到 网 络 上 
即 可 。 

基于 网 络 的 入 侵 检 测 系统 的 弱点 如 下 。 

(1) 基于 网 络 的 入 侵 检 测 系统 只 检测 它 直 接连 接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 
的 网 络 包 。 在 使 用 交换 以 太 网 的 环境 中 会 出 现 检测 范围 的 局 限 。 而 安装 多 台 基 于 网 络 的 
入 侵 检测 系统 的 传感器 会 使 整个 系统 的 成 本 大 大 增加 。 

(2) 基于 网 络 的 人 侵 检 测 系统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 
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出 普通 的 一 些 攻 击 ,而 很 难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

(3) 基于 网 络 的 人 侵 检测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系统 中 
监听 特定 的 数据 包 会 产生 大 量 的 分 析 数据 流量 。 一 些 系统 在 实现 时 采用 一 定 方 法 来 减少 
回 传 的 数据 量 , 对 入侵 判断 的 决策 由 传感器 实现 ,而 中 央 控 制 台 成 为 状态 显示 与 通信 中 
心 ,不 再 作为 入侵 行为 分 析 器 。 这 样 的 系统 中 的 传感器 协同 工作 能 力 较 弱 。 

(4) 基于 网 络 的 入侵 检 测 系统 处 理 加 密 的 会 话 过 程 较 困难 , 目前 通过 加 密 通道 的 攻 
击 尚 不 多 ,但 随 着 IPv6 的 普及 ,这 个 问题 会 越 来 越 突出 。 

随 着 网 络 系统 结构 复杂 化 和 大 型 化 ,出 现 了 许多 基于 分 布 式 的 人 侵 检 测 ,例如 : 

(1) 系统 的 弱点 或 漏洞 分 散在 网 络 中 各 个 主机 上 ,这 些 弱 点 可 能 被 入侵 者 一 起 用 来 
攻击 网 络 ,而 依靠 唯一 的 主机 或 网 络 IDS 不 能 发 现 人 侵 行为 。 

(2) 入 侵 行为 不 再 是 单一 的 行为 ,而 是 表现 出 相互 协作 的 入 侵 特点 ,如 分 布 式 拒绝 服 
务 攻击 (DDoS)。 

(3) 入 侵 检测 所 依靠 的 数据 来 源 分 散 化 ,收集 原始 的 检测 数据 变 得 困难 ,如 交换 型 网 
络 使 得 监听 网 络 数据 包 受 到 限制 。 

(4) 网 络 速度 传输 加 快 ,网 络 的 流量 大 ,集中 处 理 原始 数据 的 方式 往往 造成 检测 瓶 
颈 ,从 而 导致 漏 检 。 

基于 这 样 的 情况 ,分布 式 人 侵 检 测 系统 就 应 运 而 生 。 

分 布 式 人 侵 检 测 系统 通常 由 数据 采集 构件 .通信 传输 构件 .入侵 检 测 分 析 构件 .应 急 
处 理 构件 和 管理 构件 组 成 。 如 图 6. 3 所 示 ,这 些 构件 可 根据 不 同情 形 进 行 组 合 。 


数据 采集 构件 数据 采集 构件 


数据 采集 构件 


应 急 处 理 构件 


图 6.3 分 布 式 入 侵 检 测 系统 


3. 混合 入 侵 检 测 


混合 入侵 检测 系统 是 基于 网 络 和 基于 主机 的 人 侵 检测 系统 的 结合 ,这 种 混合 的 解决 
方案 为 基于 主机 的 人 侵 检测 和 基于 网 络 的 人 侵 检测 提供 了 互补 ,并 提供 了 入 侵 检测 的 集 
中 管理 。 采 用 这 种 技术 能 实现 对 入 侵 行 为 的 全 方位 检测 ,避免 人 侵 行 为 被 忽略 。 


4. 网 络 节 点 的 入 侵 检 测 


网 络 节 点 入 侵 检测 (network-node intrusion detection, NNID) 是 为 加 固 传 统 的 网 络 
入 侵 检 测 周 围 环境 而 开发 的 , 它 使 用 Sniffer 技术 截取 从 网 线 上 传输 给 主机 的 数据 包 。 与 
网 络 人 侵 检 测 不 同 的 是 ,网 络 节点 入 侵 检测 是 在 数据 包 到 达 主 机 后 进行 截取 。 网 络 节 点 
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入侵 检测 的 设想 来 源 于 多 个 基于 网 络 的 入 侵 检 测 中 心理 论 , 即 每 一 个 中 心 主机 都 必须 利 
用 基于 主机 的 技术 优势 。 通 常 网 络 节 点 人 侵 检测 只 是 简单 附 在 主机 入侵 检测 上 的 一 个 
模块 。 

由 于 嗅 探 技术 的 限制 ,网 络 节点 入侵 检测 仅仅 能 分 析 目 的 地 址 是 主机 地 址 的 包 , 但 是 
由 于 网 络 节点 人 侵 检测 的 特性 , 当 网 络 使 用 的 是 一 个 高 速 通信 网 络 .加 密 网 络 或 者 使 用 了 
交换 式 设备 ,网 络 节点 人 侵 检测 仍然 能 对 所 有 的 子 网 进行 检测 。 网 络 节点 人 侵 检测 的 优 
势 在 于 ,能 有 效 地 抵御 针对 特定 主机 的 基于 包 的 攻击 。 


6.3 常用 的 入 侵 检 测 方法 


入侵 检 测 系统 常用 的 检测 方法 有 特征 检测 、 统 计 检 测 与 专家 系统 。 据 公安 部 计算 机 
信息 系统 安全 产品 质量 监督 检验 中 心 的 报告 ,国内 送 检 的 入侵 检 测 产品 中 95% 是 属于 使 
用 入 侵 模式 匹配 的 特征 检测 产品 ,其 他 5% 是 采用 概率 统计 的 统计 检测 产品 与 基于 日 志 
的 专家 知识 库 型 产品 。 


1. 特征 检测 


特征 检测 对 已 知 的 攻击 或 人 侵 的 方式 作出 确定 性 的 描述 ,形成 相应 的 事件 模式 。 当 
被 审计 的 事件 与 已 知 的 入 侵 事 件 模 式 相 匹配 时 , 即 报警 ,原理 上 与 专家 系统 相仿 。 其 检测 
方法 与 计算 机 病毒 的 检测 方式 类 似 。 目 前 ,基于 对 包 特 征 描 述 的 模式 匹配 应 用 较为 广泛 。 
该 方法 预报 检测 的 准确 率 较 高 ,但 对 于 无 经 验 知识 的 入 侵 与 攻击 行为 无 能 为 力 。 


2. 统计 检测 


统计 模型 常用 异常 检测 ,在 统计 模型 中 常用 的 测量 参数 包括 审计 事件 的 数量 、 间 隔 时 
间 、 资 源 消耗 情况 等 。 常 用 的 5 种 人 侵 检测 统计 模型 如 下 。 

(1) 操作 模型 。 该 模型 假设 异常 ,可 通过 测量 结果 与 一 些 固定 指标 相 比 较 得 到 ,固定 
指标 可 以 根据 经 验 值 或 一 段 时 间 内 的 统计 平均 值得 到 。 举 例 来 说 ,在 短 时 间 内 多 次 失败 
的 登录 很 有 可 能 是 口令 尝试 攻击 。 

(2) 方差 。 计 算 参 数 的 方差 , 设 定 其 置信 区 间 , 当 测量 值 超过 置信 区 间 的 范围 时 , 表 
明 有 可 能 是 异常 。 

(3) 多 元 模型 。 操 作 模 型 的 扩展 ,通过 同时 分 析 多 个 参数 实现 检测 。 

(4) 马尔 柯 夫 过 程 模型 。 将 每 种 类 型 的 事件 定义 为 系统 状态 ,用 状态 转移 矩阵 来 表 
示 状 态 的 变化 , 当 一 个 事件 发 生 时 ,或 状态 矩阵 转移 的 概率 较 小 则 可 能 是 异常 事件 。 

(5) 时 间 序 列 分 析 。 将 事件 计数 与 资源 耗 用 根据 时 间 排 成 序列 ,如 果 一 个 新 事件 在 
该 时 间 发 生 的 概率 较 低 , 则 该 事件 可 能 是 入 侵 。 

统计 方法 的 最 大 优点 是 它 可 以 总 结 用 户 的 使 用 习惯 ,从 而 具有 较 高 检 出 率 与 可 用 性 。 
但 是 它 的 总 结 能 力也 给 入 侵 者 机 会 ,入 侵 者 通过 逐步 修正 使 入 侵 事 件 符合 正常 操作 的 统 
计 规 律 , 从 而 顺利 通过 入 侵 检测 系统 。 
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3. 专家 系统 


用 专家 系统 对 入 侵 进行 检测 ,经 常 是 针对 有 特征 的 入 侵 行为 。 规 则 即 知识 ,不 同 的 系 
统 与 设置 具有 不 同 的 规则 , 且 规 则 之 间 往 往 无 通用 性 。 专 家 系统 的 建立 依赖 于 知识 库 的 
完备 性 ,知识 库 的 完备 性 取决 于 审计 记录 的 完备 性 与 实时 性 。 入 侵 的 特征 抽取 与 表达 ,是 
入 侵 检测 专家 系统 的 关键 。 在 系统 实现 中 ,将 有 关 入 侵 的 知识 转化 为 then 结构 ,条 件 
部 分 为 人 侵 特征 ,then 部 分 是 系统 防范 措施 。 运 用 专家 系统 防范 有 特征 入 侵 行为 的 有 效 
性 则 完全 取决 于 专家 系统 知识 库 的 完备 性 。 


6.4 常见 的 入 侵 检 测 系 统 


1. Watcher 


Watcher 是 一 个 典型 的 网 络 人 侵 检 测 工具 , 它 能 检测 所 有 通过 网 络 的 信息 包 , 并 且 将 
其 当成 恶意 的 入 侵 行 为 记录 在 syslog 中 , Watcher 能 够 检测 下 列 的 攻击 行为 。 

(1) 所 有 的 TCP 扫描 。 

(2) 所 有 的 UDP 扫描 。 

(3) Synflood 攻击 。 

(4) Teardrop 攻击 。 

(5) Land 攻击 。 

(6) Smurf 攻击 。 

(7) Ping of Death 攻击 。 

所 有 的 参数 及 配置 都 是 在 命令 行 给 出 的 ,可 以 配置 它 仅仅 监视 扫描 行为 或 者 仅仅 监 
视 DoS 攻击 。 它 的 攻击 原理 是 : 如 果 在 短 时 间 内 有 超过 7 个 以 上 的 端口 收 到 信息 包 , 不 
管 类 型 如 何 ,那么 这 个 事件 就 被 当成 端口 扫描 记录 下 来 。UDP 扫描 认定 的 原理 也 一 样 。 
当 Watcher 所 在 同一 端口 收 到 超过 8 个 没有 带 ACK 或 者 FIN 位 的 SYN 包 的 话 , 就 会 被 
认定 是 Synflood 攻击 事件 。 如 果 UDP 的 碎片 包 一 一 IP 包 的 id 号 是 242, 它 就 被 认为 是 
Teardrop 攻击 ,因为 发 布 的 攻击 代码 使 用 的 是 242 的 id 号 。 这 点 存在 不 足 , 因 为 入 侵 者 
完全 可 以 自己 定义 人 侵 程序 的 记号 。 

对 同一 端口 的 大 量 TCP SYN 包 , 带 源 地 址 及 目标 地 址 的 ,将 被 认为 是 Land 攻击 ,如 
果 在 很 短 时 间 内 出 现 不 止 5 个 ICMP Echo Replies( 时 间 可 以 自 定 义 ) ,将 记录 为 Smurf 
攻击 


Watcher 有 3 种 监测 模式 ,第 一 种 模式 ,也 是 默认 的 模式 ,仅仅 监测 对 本 台 主 机 的 攻 
击 行为 ;第 二 种 模式 可 以 监测 在 C 类 子 网 内 的 所 有 主机 ;第 三 种 模式 则 可 以 监测 所 有 能 
接收 到 信息 包 的 主机 。 

当 把 Watcher 放 在 外 部 主机 上 时 ,监测 多 主机 特别 有 效 , 当 一 台 主 机 的 log 文件 被 破 
坏 时 ,其 他 主机 上 还 有 记录 。 由 于 Watcher 把 所 有 的 信息 包 都 当成 “攻击 ”, 然 后 再 进行 
分 析 , 这 种 判断 是 极为 粗糙 的 ,可 能 会 误 判 ,所 以 开发 者 应 在 代码 中 加 入 一 些 过 滤 的 技巧 。 
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Watcher 的 输出 非常 简单 ,每 隔 10 秒 钟 就 将 可 能 的 攻击 行为 记录 在 系统 日 志 中 , 同 
时 源 IP 及 目标 IP 其 至 相关 的 信息 (比如 端口 号 、 包 的 数量 等 ) 也 将 被 记录 下 来 。 但 是 拒 
绝 服务 人 侵 的 包 的 源 地 址 一 般 都 是 伪造 的 ,不 过 ,如 果 该 攻击 行为 的 IP 地 址 是 假 的 ,那么 
它 会 同时 记 下 MAC 地 址 。 如 果 攻 击 来 自 外 部 ,地 址 将 是 本 地 接收 到 该 包 的 路 由 器 的 地 
址 ,如 果 攻 击 来 自 内 部 的 话 , 就 可 先 抓 住 攻 击 者 。 

Watcher 用 于 Linux 系统 ,一般 情况 下 只 需要 在 命令 行 后 台 运 行 它 。 


2. Cisco 公司 的 NetRanger 


NetRanger 产品 分 为 两 部 分 : 监测 网 络 包 和 发 布告 警 的 传感器 ,以 及 接收 并 分 析 告 
警 和 启动 对 策 的 控制 器 。NetRanger 以 其 高 性 能 而 闻名 ,而 且 它 还 非常 易于 裁剪 。 控 制 
器 程序 可 以 综合 多 站 点 的 信息 并 监视 散布 在 整个 企业 网 上 的 和 人 侵 。NetRanger 的 最 大 名 
声 在 于 其 是 针对 企业 而 设计 的 。 

NetRanger 在 全 球 广域网 上 运行 很 成 功 。 它 有 一 个 路 径 备份 功能 。 如 果 一 条 路 径 断 
掉 了 ,信息 可 以 从 备份 路 径 上 传 过 ,甚至 能 做 到 从 一 个 点 上 监测 全 网 或 把 监测 权 转 给 第 
三 次 和 

NetRanger 的 另 一 个 强项 是 当 其 在 检测 问题 时 不 仅 观察 单个 包 的 内 部 ,而 且 还 看 上 
下 文 , 即 从 多 个 包 中 得 到 线索 。 这 是 很 重要 的 一 点 ,因为 人 侵 者 可 能 以 字符 模式 存 取 一 个 
端口 ,然后 在 每 个 包 中 只 放 一 个 字符 。 如 果 一 个 监测 器 只 观察 单个 包 , 它 就 永远 不 会 发 现 
完整 的 信息 。 

NetRanger 是 目前 市 场 上 基于 网 络 的 入 侵 检 测 软件 中 经 受 实践 考验 最 多 的 产品 之 
一 。 但 是 ,对 于 某 些 用 户 来 讲 , NetRanger 的 强项 也 可 能 正好 是 其 不 足 。 它 被 设计 为 集成 
在 OpenView 或 NetView 下 ,在 网 络 运行 中 心 (NOC) 使 用 ,配置 要 求 对 UNIX 有 详细 的 
了 解 。NetRanger 相对 较 昂贵 ,这 对 于 一 般 的 局 域 网 来 说 不 一 定 很 适合 。 


3. 入 侵 检测 系统 BlackICE 简介 


该 软件 在 1999 年 获得 了 PC Magazine 的 技术 卓越 大 奖 , 对 于 没有 防火 墙 的 家 庭 用 户 
来 说 ,BlackICE 是 一 道 不 可 缺少 的 防线 ;而 对 于 企业 网 络 , 它 又 增加 了 一 层 保护 措施 。 它 
并 不 是 要 取代 防火 墙 ,而 是 阻止 企图 穿 过 防火 墙 的 入 侵 者 。BlackICE 集成 有 非常 强大 的 
检测 和 分 析 引 擎 ,可 以 识别 200 多 种 入 侵 技巧 ,给 用 户 全 面 的 网 络 检测 及 系统 防护 , 它 还 
能 即时 监测 网 络 端口 和 协议 ,拦截 所 有 可 疑 的 网 络 人 侵 , 无 论 黑客 如 何 费 尽心 机 也 无 法 危 
害 到 系统 。 而 且 它 还 可 以 将 查 明 那些 试图 入 侵 的 黑客 的 NetBIOS(WINS) 名 、DNS 名 或 
是 他 目前 所 使 用 的 IP 地 址 记录 下 来 ,以 便 用 户 采 取 进 一 步行 动 。 该 软件 的 灵敏 度 和 准确 
率 非常 高 ,稳定 性 也 相当 出 色 ,系统 资源 占用 率 极 少 , 是 网 络 监测 的 较 好 的 选择 。 其 功能 
如 下 。 

(1) 增加 了 应 用 程序 与 通信 控制 的 功能 。 

(2) 可 控制 应 用 程序 是 否 在 计算 机 上 执行 。 

(3) 可 控制 哪些 应 用 程序 能 与 Internet 通信 。 

(4) 扫描 你 的 系统 ,检测 所 有 的 系统 设置 改变 。 


(5) 可 在 事件 列表 中 记录 新 软件 与 新 通信 事件 的 发 生 情况 。 


<S> [过 例 】 BadiGE 入 侵 检 测 系 统 的 记 用 


案例 分 析 


BlackICE 一 款 非 常 强大 的 入 侵 检测 系统 工程 ,集成 有 非常 强大 的 检测 和 分 析 引 擎 ， 
能 进行 全 面 的 网 络 检测 及 系统 防护 ,即时 监测 网 络 端口 和 协议 ,拦截 所 有 可 疑 的 网 络 入 
侵 , 从 而 提高 网 络 的 安全 性 。 


操作 环境 


(1) 一 台 连 上 Internet 的 计算 机 。 
(2) 入 侵 检测 软件 BlackICE。 


操作 步 又 


第 1 步 BlackICE 软件 的 下 载 安装 。 可 以 在 华军 软件 园 等 网 站 下 载 ,本 实 训 以 
BlackICE PC Protection 3. 6 为 例 , 下 载 、 解 压 软件 后 ,运行 安装 程序 即 可 安装 BlackICE。 

第 2 步 熟悉 BlackICE 软件 的 界面 。 

BlackICE 软件 的 界面 如 图 6.4 所 示 。 
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图 6.4 BlackICE 的 界面 


(1) 掌握 文件 栏 中 菜单 的 操作 内 容 。 

(2) 掌握 Events( 事 件 ) Intruders( 入 侵 者 ) 和 History( 历 史 )3 个 书签 的 信息 内 容 。 

第 3 步 规则 设置 。 

(1) 规则 设置 与 编辑 。 选 择 “ 工 具 ”>“ 编 辑 BlackICE 设置 ”命令 ,出 现 BlackICE 的 
设置 对 话 框 ,用 户 可 以 根据 自己 的 需要 进行 配置 。 
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(2) 防火 墙 规 则 设置 。 选 择 “ 工 具 ” 一 “高 级 防火 墙 设置 "命令, 出现 Advanced 
Application Protection Settings 对 话 框 ,如 图 6.5 所 示 。 根 据 需要 从 中 可 以 添加 、 删 除 和 
修改 防火 墙 项 目 。 
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图 6.5 Advanced Application Protection Settings 对 话 框 


(3) 查阅 “入 侵 者 ”信息 ,如 图 6.6 所 示 。 可 以 直接 将 入 侵 者 的 IP 地 址 .计算 机 名 、 
NetBIOS 名 .DNS 名 .MAC 地 址 等 显示 出 来 。 如 果 用 户 确认 某 个 入 侵 者 后 ,可 以 在 入 侵 
者 上 右 击 , 拦 截 选 定 的 入 侵 者 ,时 间 有 4 种 选择 : 1 小 时 、1 天 、1 个 月 和 永久 。 


BlackICE PC Pro 


图 6.6 Intruders 选项 卡 


6.5 入 侵 检 测 系统 的 选 购 策略 


目前 基于 网 络 的 入侵 检测 产品 有 很 多 ,如 果 不 考虑 费用 问题 ,可 以 使 用 优秀 的 商业 产 
品 , 使 用 这 些 产品 会 得 到 来 自 开发 商 的 技术 支持 和 产品 更 新 。 当 然 ,还 有 很 多 非 商 业 化 的 
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产品 如 Snort 这 一 类 的 自由 软件 。 选 购 产 品 最 重要 的 就 是 量力 而 行 ,而 不 要 因为 产品 的 
名 气 而 购买 , 记 住 你 需要 的 是 适合 自己 网 络 使 用 的 入 侵 检测 产品 。 

当选 择 入 侵 检测 系统 时 ,要 从 如 下 方面 考虑 。 

(1) 系统 的 价格 。 价 格 是 必须 考虑 的 要 点 ,不 过 ,性 能 价格 比 及 要 保护 系统 的 价值 则 
是 更 重要 的 因素 。 

(2) 特征 库 升 级 与 维护 的 费用 。 像 反 病毒 软件 一 样 ,入 侵 检测 的 特征 库 需 要 不 断 更 
新 才能 检测 出 新 出 现 的 攻击 方法 。 

(3) 对 于 网 络 入 侵 检测 系统 ,最 大 可 处 理 流量 是 多 少 包 / 秒 (p/s)。 首 先 ,要 分 析 网 络 
入 侵 检 测 系统 所 安装 的 网 络 环境 ,如 果 在 512KB 或 24MB 专线 上 安装 网 络 人 侵 检测 系 
统 , 则 不 需要 高 速 的 人 侵 检 测 引 擎 ,而 在 负荷 较 高 的 环境 中 ,性 能 是 一 个 非常 重要 的 指标 。 

(4) 该 产品 是 否 容易 被 躲避 。 有 些 常用 的 租 开 入 侵 检测 的 方法 ,如 分 片 .TTL 欺骗 、 
异常 TCP 分 段 , 慢 扫描 \ 协 同 攻击 等 。 

(5) 产品 的 可 伸缩 性 。 系 统 支持 的 传感器 数目 .最 大 数据 库 大 小 、 传 感 器 与 控制 台 
间 的 通信 带宽 和 对 审计 日 志 溢 出 的 处 理 。 

(6) 运行 与 维护 系统 的 开销 。 产 品 报表 结构 、 处 理 误 报 的 方便 程度 、 事 件 与 日 志 查 询 
的 方便 程序 以 及 使 用 该 系统 所 需 的 技术 人 员 数 量 。 

(7) 产品 支持 的 入 侵 特 征 数 。 不 同 厂商 对 检测 特征 库 大 小 的 计算 方法 都 不 一 样 。 

(8) 产品 有 哪些 响应 方法 。 要 从 本 地 远程 等 多 个 角度 考察 。 自 动 更 改 防火 墙 配 置 
是 一 个 听 起 来 很 不 错 的 功能 ,但 是 ,自动 配置 防火 墙 是 一 个 极为 危险 的 举动 。 

(9) 是 否 通 过 了 国家 权威 机 构 的 评测 。 主 要 的 权威 测评 机 构 有 中 国信 息 安全 测评 中 
心 .公安 部 计算 机 信息 系统 安全 产品 质量 监督 检验 中 心 。 

理想 的 入 侵 检 测 系 统 方案 应 该 是 具有 以 下 特点 。 

(1) 快速 控制 台 。 

(2) 良好 的 误 警 报 管理 。 

(3) 显示 已 经 分 析 过 的 事件 。 

(4) 标志 已 经 分 析 过 的 事件 。 

(5) 层 层 探究 的 能 力 。 

(6) 关联 分 析 能 力 。 

(7) 报告 能 力 。 

从 目前 情况 来 看 ,每 天 都 会 有 许多 新 的 入 侵 方 式 出 现 ,对 于 入 侵 事 件 的 检测 仅 靠 入 
侵 检 测 系统 是 不 现实 的 ,但 是 也 不 能 完全 放弃 入 侵 检测 系统 。 即 使 是 训练 有 素 的 专家 
级 分 析 员 也 需要 通过 各 种 工具 才能 对 这 些 和 人 侵 行为 进行 分 析 。 一 般 来 说 ,提供 给 分 析 
员 的 信息 越 多 ,分 析 员 解决 人 侵 检测 问题 的 机 会 就 越 大 ,但 是 任何 事情 都 不 能 走 极端 ， 
过 多 的 信息 也 有 可 能 使 分 析 员 在 大 量 的 信息 中 迷失 ,将 宝贵 的 时 间 和 精力 浪费 在 分 离 
大 量 的 无 效 信息 上 。 因 此 ,合理 地 选择 并 部 署 人 侵 检测 系统 才能 获得 最 合理 的 人 侵 检 
测 能 力 。 
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6.6 入 侵 检 测 系统 的 局 限 性 及 发 展 趋势 


1. 入 侵 检测 系统 的 局 限 性 


人 侵 检测 系统 也 面临 着 若干 重要 的 挑战 。 这 些 挑战 有 些 来 自 技术 方面 ,有 些 则 来 自 
非 技 术 方 面 。 

(1) 技术 方面 

Q@ 网 络 规模 和 复杂 程序 不 断 增 长 。 在 一 个 大 型 的 异 构 网 络 环境 中 ,入 侵 检 测 系 统 所 
遇 到 的 主要 问题 有 : 如 何 集成 并 处 理 来 自分 布 在 网 络 各 处 实体 的 具有 不 同 格式 的 各 种 相 
关 信 息 ? 如 何在 相互 合作 但 是 并 不 完全 相互 信任 的 组 织 之 间 来 共享 敏感 的 相关 入 侵 行 为 
信息 ?如 何 进 行 管理 域 间 的 合作 进程 及 如 何 保证 在 局 部 入 侵 检测 系统 失效 的 情况 下 仍 能 
维护 系统 全 局 的 安全 等 。 

@ 如 何在 造成 损失 前 及 早 发 现 人 侵 活动 。 

@ 网 络 繁忙 情况 下 的 系统 性 能 问题 。 为 了 保证 发 挥 效能 ,网 络 人 侵 检 测 系统 必须 能 
够 分 析 所 有 的 内 向 数据 包 。 如 果 一 个 人 侵 检测 系统 无 法 应 付 网 络 吞 吐 量 的 话 , 它 就 可 能 
漏 掉 不 少 反 映 入 侵 活动 的 特征 数据 ,从 而 造成 安全 漏洞 。 

@ 入 侵 模式 特征 的 准确 性 。 用 来 描述 异常 人 侵 行为 的 模式 特征 是 滥用 检测 系统 最 
重要 的 基石 。 如 何 保证 所 采用 的 特征 集 能 够 准确 而 又 足以 描述 已 知 的 各 种 攻击 模式 ( 包 
括 复 杂 的 分 阶段 攻击 行为 ) 及 其 变种 ,是 一 个 重要 而 敏感 的 问题 。 

@ 入 侵 检 测 系统 的 评估 。 对 入 侵 检测 系统 评估 测试 是 一 项 复杂 的 工作 ,因为 IDS 不 
能 在 独立 环境 中 检测 ,首先 必须 建立 一 个 实际 网 络 平台 环境 。 同 时 ,还 需要 大 量 的 包含 各 
种 测试 入 侵 的 复杂 数据 ,这 些 数据 还 要 根据 不 同 的 操作 系统 平台 和 版 本 加 以 调整 。 时 至 
今日 ,在 这 方面 所 做 的 工作 非常 少 。 

(2) 非 技术 方面 

Q@ 攻击 者 不 断 研究 新 的 攻击 模式 ,同时 , 随 着 安全 技术 的 普及 , 越 来 越 多 的 人 进行 了 
越 来 越 多 的 入 侵 攻击 尝试 。 自 动 攻 击 的 软件 工具 不 断 得 到 改进 ,使 普通 用 户 也 能 够 利用 
它 来 进行 网 络 攻 击 。 各 种 机 构 ( 包 括 政府 、 公 司 等 ) 对 包括 IDS 在 内 的 安全 技术 的 认识 不 
足 或 者 缺乏 足够 熟练 的 安全 管理 员 。 

@ 我 国 计 算 机 系统 及 网 络 产 品 以 国外 的 为 主 , 软 / 硬 件 系统 中 难免 存在 各 种 潜在 威 
胁 和 安全 “陷阱 "(诸如 操作 系统 后 门路 由 器 漏洞 等 ), 因 此 ,利用 这 些 设备 建立 的 网 络 系 
统 ,在 其 安全 性 方面 得 不 到 根本 性 的 保障 。 


2. 入 侵 检 测 的 发 展 趋势 


入 侵 检测 系统 与 其 他 的 网 络 产品 一 样 , 在 过 去 几 年 获得 了 非常 大 的 发 展 , 入 侵 检测 系 
统 已 经 成 为 维护 网 络 安全 的 重要 产品 ,就 如 同 防火 墙 一 样 。 不 过 ,未 来 是 很 难 预料 的 ,网 
络 的 情况 会 改变 ,入 侵 者 也 在 不 断 地 学 习 。 入 侵 检测 系统 必须 要 面 对 这 些 问 题 ,并 不 断 地 
演化 以 适应 环境 的 变化 。 无 论 如 何 , 管 理 员 都 必须 确信 入 侵 检 测 系统 是 帮助 他 们 维护 网 
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络 安全 最 有 力 的 武器 之 一 。 下 面 几 点 是 未 来 对 人 侵 检 测 发 展 可 能 带 来 影响 的 因素 。 

(1) 安全 事件 逐年 上 升 

对 管理 员 而 言 , 将 网 络 接 入 Internet, 就 意味 着 将 网 络 暴露 在 全 球 的 入 侵 者 面前 ,大 
量 的 攻击 行为 将 使 人 侵 检测 系统 面临 更 大 的 压力 。 

(2) 安全 问题 日 渐 增多 

Internet 的 不 断 发 展 使 网 络 日 趋 复杂 ,软件 的 功能 不 断 增 加 ,然而 安全 漏洞 被 发 现 的 
数量 也 不 断 扩 大 。 除 了 操作 系统 外 ,各 种 服务 软件 的 漏洞 都 有 可 能 给 系统 带 来 安全 方面 
的 威胁 。 入 侵 检 测 系统 必须 具备 足够 的 能 力 跟踪 最 新 的 漏洞 出 现 。 

(3) 良好 的 适应 性 

网 络 信 侵 检 测 系统 通过 匹配 网 络 数据 包 发 现 攻击 行为 ,入 侵 检 测 系统 往往 假设 攻击 
信息 是 通过 明文 传输 的 ,因此 ,对 信息 稍 加 改变 便 可 能 骗 过 入 侵 检测 系统 的 检测 。 一 些 攻 
击 者 已 经 开始 利用 这 一 点 通过 加 密 的 方法 传输 控制 信息 。 还 有 许多 系统 通过 VPN( 虚 拟 
专用 网 ) 进 行 网 络 之 间 的 互联 ,如 果 入 侵 检测 系统 不 了 解 其 所 用 的 隧道 机 制 , 就 会 无 法 发 
现 可 能 存在 的 入侵 行为 。 

(4) 必须 协调 、 适 应 多 样 性 的 环境 中 的 不 同 的 安全 策略 

网 络 及 其 中 的 设备 越 来 越 多 样 化 , 既 存 在 关键 资源 ,如 邮件 服务 器 .企业 数据 库 ,也 存 
在 很 多 相对 不 是 很 重要 的 个 人 计算 机 ;不 同 企 业 之 间 的 这 种 情况 也 不 尽 相 同 。 所 以 人 侵 
检测 系统 要 能 适应 多 样 的 环境 要 求 。 


本 章 小 结 


入侵 检测 系统 是 网 络 安全 保障 体系 结构 中 的 重要 环节 , 它 为 实时 安全 事件 审计 、 发 现 
攻击 人 侵 行为 ,采取 及 时 的 响应 措施 .避免 系统 受到 进一步 的 危害 提供 了 技术 保障 。 

从 功能 上 讲 , 入 侵 检 测 系统 由 探测 器 、 分 析 器 和 用 户 接口 组 成 。 

和 人 侵 检 测 系统 的 数据 来 源 可 以 来 自 多 方面 ,针对 这 些 安全 审计 数据 源 , 和 人 侵 检测 系统 
可 以 采取 模式 匹配 、 统 计 分 析 等 误 用 检测 或 异常 检测 技术 ,对 入 侵 行 为 做 出 及 时 判断 , 帮 


助 系统 管理 员 更 好 地 维护 系统 安全 。 
本 章 练 习 
一 、 填空 题 
1. 入 侵 检 测 系 统 是 的 系统 。 
2. 入 侵 检 测 系统 的 需求 特性 有 性 、 性 、 性 、 性 和 
性 
3. 从 功能 上 讲 , 入 侵 检 测 系统 由 和 三 部 分 组 成 。 
4. 网 络 入 侵 检 测 是 通过 分 析 来 工作 的 。 


5. 混合 人 侵 检测 系统 是 和 入 侵 检 测 系统 的 结合 。 
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1. 入 侵 检测 利用 的 信息 分 析 包 括 
A. 系统 和 网 络 日 志文 件 
B. 目录 和 文件 中 的 不 期 望 的 改变 和 程序 执行 中 的 不 期 望 的 行为 
C. 物理 形式 的 入侵 信息 
D. 以 上 所 有 信息 
2. 用 于 事后 分 析 的 人 侵 检测 方法 是 
A. 模式 匹配 B. 统计 分 析 C. 完整 性 分 析 ”D. 可 靠 性 分 析 


3. 一 个 基于 网 络 的 人 侵 检测 程序 用 去 检测 攻击 。 
A. 一 次 攻击 的 分 析 B. DNS 的 配置 
C. 特征 数据 库 D. 包 探 测 器 

4. 一 个 基于 网 络 的 入 侵 检测 程序 最 适合 检测 e 
A. 直接 攻击 和 木马 攻击 B. 直接 攻击 和 拒绝 服务 攻击 
C. 端口 扫描 和 拒绝 服务 攻击 D. 拒绝 服务 攻击 和 木马 攻击 

5. 一 个 基于 网 络 的 入 侵 检测 程序 探测 离开 网 络 的 数据 包 , 系 统 的 。” 最 重要 。 
A. 网 卡 的 质量 B. 系统 的 制造 商 
C. 系统 的 显示 器 D. 内 存 的 质量 

三 、 简 答题 

1. 入侵 检测 系统 的 作用 有 哪些 ? 

2. 入 侵 检测 系统 由 哪些 部 分 组 成 ? 

3. 简 述 入 侵 检 测 系统 发 展 的 动态 和 趋势 。 

4. 如 何 选 购 入 侵 检 测 系 统 ? 


实 训 ”Snort 入 侵 检 测 工具 的 应 用 


实 训 目的 
了 解 入 侵 检测 的 基本 概念 ,掌握 Snort 入 侵 检 测 工具 的 使 用 。 
实 训 环境 


(1) Snort 入 侵 检测 系统 、SQL 数据 库 系统 。 
(2) Windows Server 2003 系统 。 


实 训 步 又 


第 1 步 ”安装 Apache。 
选择 定制 安装 ,安装 路 径 修改 为 C: \apache, 这 样 与 后 面 的 参数 设置 保持 一 致 。 
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在 命令 行 窗口 输入 下 面 的 命令 ,启动 Apache 服务 。 
Net shart apache2 


第 2 步 安装 PHP。 

(1) 解压 缩 php-4. 3. 2-Win32. zip 至 C: \php。 

(2) 复制 php4ts. dll 至 C: \WINDOWS\system32。 
(3) 复制 php. ini-dist 至 C: \WINDOWS\php. ini。 
(4) 修改 php. ini。 


extension=php gd?2.d11 


(5) 复制 C: \php\extension\php_gd2. dll C: \WINDOWS\( 注 : 以 上 添加 gd 图 形 
库 支持 )。 

(6) 在 httpd. conf 中 添加 : 

LoadModule php4 module"c:/php/sapi/phpAapadhe?.d11" 

DodType application/x- httpd- phd.phd 

(7) 在 C: \apache2\htdocs 目录 下 新 建 test. php 文件 ,test. php 文件 的 内 容 为 
=? phpinfo()? >。 

(8) 打开 浏览 器 ,输入 http: //127. 0.0.1/ 
test. php, 测试 PHP 是 否 安装 成 功 , 安 装 成 功 后 
的 页 面 如 图 6.7 所 示 。 

第 3 步 ” 安 装配 置 MySQL 数据 库 。 

默认 安装 到 C: \mysql, 新 建 my. ini 并 复制 
到 C: \ WINDOWS\ 下 ,其 中 my. ini 的 内 容 
如 下 。 


[mysqld] ee 
basedir= c:\mysql 图 6.7 PHP 安装 成 功 的 界面 
bind- address=127.0.0.1 


datadir= c:\mysql\data 

启动 MySQL 服务 ,在 命令 行 窗口 执行 如 下 命令 : 
nysql- install 

net start mysql 


配置 root 口令 : 


c:\> cd mysql\bin 

Cc:\nysql\bin> mysql 

mysql> set password for"root"@ "localhost"=password('newEWD'); 
注意 : 这 里 newPWD 为 此 处 用 户 自己 设置 的 密码 。 
以 root 身份 登录 : 
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Mysdl -uroot -p 

第 4 步 ” 安装 Snort。 

默认 安装 到 C: \snort 下 ,然后 在 命令 行 窗口 下 输入 下 面 的 命令 ,建立 Snort 运行 必 
需 的 snort 库 和 snort_archive 库 。 

mysql> create database snort; 

mysql> create database snort archive; 

在 命令 行使 用 C: \snort\contrib 目录 下 的 create_mysql 脚本 建立 Snort 运行 必需 的 
数据 表 。 


Cc:\mysql\bin\mysql— D snort-u root-p < c:\snort\contrib\ create mysql; 
c:\ mysql\bin\mysql- D snort_archive - uroot - FXc:\snort\oontrib\create mysql; 


在 命令 窗口 建立 acid 和 snort 用 户 ,或 者 以 phpmyadmin 用 户 进行 操作 。 


mysql> grant usage on* .* to"acid"@ "localhost"identified by "acidpassword"; 
mysql> grant usage on* .* to"snort"@ localhost" identifies by "snortpsaaword"; 


然后 为 acid 用 户 和 snort 用 户 分 配 相关 的 权限 。 


mysql> grant select, insert, update, delete, create,alter cn snort . * to"acid"@ "localhost"7 
mysql> grant select, insert on snort .* to"snort"@ "localhost"; 
mysql> grantselect, insert, update, delete, create,alter on snort ardive .* to "acid" @ "localhost"; 


这 一 步 也 可 以 以 phpmyadmin 用 户 进 行 操作 。 

第 5 步 安装 配置 adodb acid。 

解压 缩 adodb360. zip 至 C: \php\adodb 目录 下 ,解压 缩 acid-0. 9. 6b23. tar. gz 至 
C: \apache2\htdocs\acid 目录 下 。 

修改 acid_conf. php 文件 : 


$ LBLib path= "c:\php\adodb"; 

S$ alert dbname= "snort"; 

$ alert host= "localhost"; 

$alert port=" "; 

S$ alert user= "acid"; 

$ alert password= "acidpassword"; 

/* Archive DB oonnection parameters* / 
$ archive_ dbname= "snort ardive"; 
S$archive host= "localhost"; 

$archive port=" "; 

$ archive user= "acid"; 

$ archive password= "acidpassword"; 

$ ChartLib path= "c:\php\jpgraph\src"; 


打开 浏览 器 ,输入 http: //127. 0. 0. 1/acid/acid_db_setup. php, 按 照 系统 提示 建立 
acid 运行 必需 的 数据 库 。 
第 6 步 安装 jpgrapg 库 。 
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解压 缩 jpgraph-1. 12. 2. tar. gz 至 C: \php\jpgraph。 
修改 jpgraph. php: 

TEFINE ("CACHE_DIR", "/tp/jpgraph_cache/") (取消 原来 的 注释 ) 
第 7 步 ” ”安装 WinPcap。 

第 8 步 配置 Snort。 

编辑 C: \snort\etc\snort. conf ,需要 将 修改 。 


include classification.config 
include reference.config 


修改 为 绝对 路 径 : 


include c:\snort\etc\classification.config 
include c:\snortNetcNreference.config 


设置 snort 输出 alert 到 MySQL Server。 

cutput database: alert, nysql, host= localhost user= snort password= sort doname= snort 
第 9 步 ”测试 Snort。 

输入 命令 ,运行 Snort。 

Cc:\snort\bin> snort - c "c:\snort\etc\snort.oonf"- 1"c:\snort\log" - vaeX 
其 中 ， 

-X 参数 用 于 在 数据 链接 层 记 录 raw packet 数据 。 

-d 参数 记录 应 用 层 的 数据 。 

-e 参数 显示 /记录 第 二 层 报 文 头 数据 。 

-c 参数 用 以 指定 Snort 的 配置 文件 和 路 径 。 


-v 参数 用 于 在 屏幕 上 显示 被 抓 到 的 包 。 
启动 Apache 和 MySQL 服务 。 


net start apache2 

mysqld- install 

net start mysql 

运行 acid: 打开 浏览 器 ,地 址 为 http: //127. 0. 0. 1/acid。 车 如 图 6. 8 所 示 , 则 表示 
acid 安装 成 功 。 

在 命令 行 运行 Snort, 在 运行 中 输入 命令 : 


Cc:\snort\bin\snort— c "c:\snort\etc\snort.coonf"— 1"c:\snort\log" - de 
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图 6.8 acid 安装 成 功 


图 6.9 Snort 正常 运行 界面 
第 10 步 ”开始 检测 。 


首先 配置 snort. conf 文件 ,将 var HOME_NET any 语句 中 的 any 改 为 自己 所 在 的 
子 网 地 址 ,即将 snort 监测 的 内 网 设置 为 本 机 所 在 局 域 网 。 接 下 来 ,设置 snort. conf 文件 


中 的 rule 规则 ,将 #include 前 的 井 去掉, 表示 启用 此 条 规则 。 


参照 第 9 步 ,启动 Snort 并 用 浏览 器 打开 acid 控制 台 , 单 击 TCP 后 的 数字 ,将 显示 所 
有 检测 到 的 TCP 协议 和 数据 包 的 详细 情况 ,如 图 6. 10 所 示 


不 要 关闭 Snort, 打 开 superscan 对 检测 网 段 进行 扫描 ,再 打开 acid 查看 检测 结果 


可 
Unique Alerts:34 ({ 10 
categories ) 
‘otal Number of Alerts: 2021 UDP (< 1%) 


® Source IP addresses: 41 
® Dest IP addresses; 108 SMP (20%) 
® Unique IP inks 196 
® Source Pors: 782 Portscan Traffic (0%) 
O TCP (749) UDP 


{3) 
® Dest Ports: 19 
© TcP (18) UDP 
ns 


图 6.10 显示 信息 


知识 目标 

。 掌握 计算 机 病毒 的 定义 、 分 类 、 特 点 及 防治 。 
。 掌握 常用 杀毒 软件 的 使 用 。 

。 了 解 典 型 网 络 病毒 的 特点 。 

技能 目标 

。 能 够 使 用 常用 杀毒 软件 防范 与 清除 病毒 。 
。 能 够 清除 与 防范 典型 网 络 病毒 。 


计算 机 的 普及 和 网 络 的 发 展 ,使 得 计算 机 病毒 的 防治 更 加 重要 。 早 期 病毒 的 传播 媒 
介 主 要 是 软盘 ,进入 Internet 时 代 后 ,网 络 又 成 为 计算 机 病毒 最 好 的 传播 途径 。 病 毒 扩散 
速度 之 快 也 是 前 所 未 有 的 , 它 严重 威胁 着 网 络 的 安全 。 


7.1 计算 机 病毒 的 基础 知识 


7.11 计算 机 病毒 的 定义 


早 在 1949 年 ,计算 机 先驱 者 汉 “。 诺 伊 曼 就 在 他 的 论文 (复杂 计算 机 组 织 论 }》 中 ,提出 
了 计算 机 程序 能 够 在 内 存 中 自我 复制 ,勾勒 出 了 病毒 程序 的 蓝图 。 

1983 年 11 月 3 日 , 弗 雷 德 .科恩 博士 研制 出 了 一 种 在 运行 过 程 中 可 以 自我 复制 的 
破坏 性 程序 , 伦 ， 艾 德 勒 曼 将 它 命名 为 计算 机 病毒 ,并 在 每 周一 次 的 安全 讨论 会 上 正式 提 
出 ,会 议 结束 8 小 时 后 专家 们 在 VAX11/750 计算 机 系统 上 运行 ,第 一 个 病毒 实验 成 功 ， 
一 周 后 获准 推出 5 个 实验 的 演示 ,从 而 在 实验 上 验证 了 计算 机 病毒 的 存在 。 

1985 年 年 初 ,在 巴基斯坦 的 拉 合 尔 ,巴西 特 和 阿 姆 杰 得 两 兄弟 为 了 防盗 版 ,编写 了 
“巴基斯坦 智囊 "病毒 ,该 病毒 传染 软盘 引导 ,一 年 后 病毒 以 强劲 势头 流传 到 了 全 世界 。 这 
是 最 早 在 世界 上 流行 的 一 个 真正 的 病毒 。 几 乎 同时 ,世界 各 地 的 计算 机 用 户 也 发 现 了 形 
形 色色 的 计算 机 病毒 ,如 黑色 星期 五 大麻 等 。 

“计算 机 病毒 ”的 概念 是 由 美国 计算 机 研究 专家 F. Cohen 最 早 提出 来 的 , 像 生物 病毒 
一 样 , 计 算 机 病毒 具有 独特 的 复制 能 力 。 它 们 能 把 自身 附 在 各 种 类 型 的 文件 上 , 当 文件 被 
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复制 或 从 一 个 用 户 传送 到 男 一 个 用 户 时 ,它们 就 随同 文件 一 起 蔓延 开 来 。 除 复制 能 力 之 
外 , 某 些 计 算 机 病毒 还 有 其 他 一 些 共同 特性 : 一 个 被 感染 的 程序 能 够 传送 病毒 载体 。 当 
你 看 到 病毒 载体 似乎 仅仅 表现 在 文字 和 图 像 上 时 ,它们 可 能 已 经 毁坏 了 文件 格式 化 了 硬 
盘 或 引发 了 其 他 类 型 的 灾害 。 若 是 病毒 并 不 寄生 于 一 个 污染 程序 , 它 仍然 能 通过 占据 存 
储 空间 给 我 们 带 来 麻烦 ,并 降低 计算 机 的 性 能 。 

出 现在 计算 机 领域 中 的 计算 机 病毒 是 一 组 程序 ,一段 可 执行 码 ,是 一 种 隐藏 在 计算 机 
系统 的 可 存 取信 息 资源 中 ,利用 系统 信息 资源 进行 繁殖 并 且 执 行 的 编码 集合 。 计 算 机 病 
毒 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 明确 定义 为 :“ 指 编制 或 者 在 计 
算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 .影响 计算 机 使 用 ,并 能 够 自我 复制 的 一 
组 计算 机 指令 或 者 程序 代码 .” 此 定义 具有 法 律 性 、 权 威 性 。 


【资料 链接 〗 计算 机 病毒 的 命名 


反 病 毒 公司 为 了 方便 管理 ,用 了 一 个 大 致 统一 的 命名 方法 按照 病毒 的 特性 对 病毒 进 
行 分 类 命名 。 了 解 病毒 命名 规则 ,对 我 们 了 解 . 防 范 、 清 除 病 毒 很 有 利 。 

一 般 格式 为 : 二 病毒 前 级 二. 二 病毒 名 .二 病毒 后 级 二 。 

病毒 前 级 是 指 一 个 病毒 的 种 类 ,是 用 来 区 别 病毒 的 种 族 分 类 的 。 不 同 的 种 类 的 病毒 ， 
其 前 级 也 是 不 同 的 ,如 常见 的 木马 病毒 的 前 组 是 Trojan ,蠕虫 病毒 的 前 组 是 Worm 等 。 

病毒 名 是 指 一 个 病毒 的 家 族 特征 ,是 用 来 区 别 和 标识 病毒 家 族 的 ,如 振荡 波 蠕 虫 病毒 
的 家 族 名 是 Sasser。 

病毒 后 组 是 指 一 个 病毒 的 变种 特征 ,用 来 区 别 具 体 某 个 家 族 病毒 的 某 个 变种 。 一 般 
都 采用 英文 中 的 26 个 字母 来 表示 ,如 Worm. Sasser.b 就 是 指 振荡 波 蠕虫 病毒 的 变种 也 ， 
因此 一 般 称 为 “振荡 波 B 变种 ”或 者 “振荡 波 变种 B”。 如 果 该 病毒 变种 非常 多 ,可 以 采用 
数字 与 字母 混合 表示 变种 标识 。 

1. 系统 病毒 

系统 病毒 的 公有 的 特性 一 般 是 可 以 感染 Windows 操作 系统 的 *.exe 和 x.dll 文 件 ， 
并 通过 这 些 文 件 进行 传播 ,如 CIH 病毒 。 

2. 蠕虫 病毒 

蠕虫 病毒 的 前 缓 是 Worm。 这 种 病毒 的 公有 特性 是 通过 网 络 或 者 系统 漏洞 进行 传 
播 ,很 大 部 分 的 蠕虫 病毒 都 有 向 外 发 送 带 毒 邮件 ,阻塞 网 络 的 特性 ,如 冲击 波 (阻塞 网 络 )、 
小 邮差 (发 带 毒 邮件 ) 等 。 

3. 木马 病毒 .黑客 病毒 

木马 病毒 的 前 组 是 Trojan, 黑 客 病 毒 的 前 缓 一 般 为 Hack。 木 马 病 毒 的 公有 特性 是 
通过 网 络 或 者 系统 漏洞 进入 用 户 的 系统 并 隐藏 ,然后 向 外 界 泄露 用 户 的 信息 ,而 黑客 病毒 
则 有 一 个 可 视 的 界面 ,能 对 用 户 的 计算 机 进行 远程 控制 。 木 马 、 黑 客 病毒 往往 是 成 对 出 现 
的 , 即 木马 病毒 负责 侵入 用 户 的 计算 机 ,而 黑客 病毒 则 会 通过 该 木马 病毒 来 进行 控制 。 现 
在 这 两 种 类 型 都 越 来 越 趋向 于 整合 了 。 一 般 的 木马 如 QQ 消息 尾巴 木马 Trojan. 
QQ3344 ,针对 网 络 游戏 的 木马 病毒 如 Trojan. LMir. PSW. 60。 这 里 补充 一 点 ,病毒 名 中 
有 PSW 或 者 什么 PWD 之 类 的 一 般 都 表示 这 个 病毒 有 盗 取 密码 的 功能 (这 些 字母 一 般 都 


为 “密码 ”英文 “password” 的 缩写 ) ,而 黑客 程序 则 有 网 络 拒 雄 (Hack. Nether. Client) 等 。 

4. 脚本 病毒 

脚本 病毒 的 前 级 是 Script。 脚 本 病毒 的 公有 特性 是 使 用 脚本 语言 编写 ,通过 网 页 进 
行 的 传播 的 病毒 ,如 红色 代码 (Script. Redlof) 。 脚 本 病毒 还 会 有 VBS、JS( 表 明 是 何 种 脚 
本 编写 的 ) 等 前 组 ,如 欢乐 时 光 (VBS. Happytime) \ 十 四 日 (Js. Fortnight. c. s) 等 。 

5. 宏 病 毒 

其 实 宏 病 毒 也 是 脚本 病毒 的 一 种 ,由 于 它 的 特殊 性 ,因此 在 这 里 单独 算 成 一 类 。 宏 病 
毒 的 前 组 是 Macro, 第 二 前 组 是 Word、Word 97、Excel、Excel 97 其 中 之 一 。 凡 是 只 感染 
Word 97 及 以 前 版 本 Word 文档 的 病毒 采用 Word 97 作为 第 二 前 组 ,格式 是 Macro. 
Word 97; 凡 是 只 感染 Word 97 以 后 版 本 Word 文档 的 病毒 采用 Word 作为 第 二 前 缓 , 格 
式 是 Macro. Word; 凡 是 只 感染 Excel 97 及 以 前 版 本 Excel 文档 的 病毒 采用 Excel 97 作 
为 第 二 前 组 ,格式 是 Macro. Excel 97; 凡 是 只 感染 Excel 97 以 后 版 本 Excel 文档 的 病毒 采 
用 Excel 作为 第 二 前 组 ,格式 是 Macro. Excel, 以 此 类 推 。 该 类 病毒 的 公有 特性 是 能 感染 
Office 系列 文档 ,然后 通过 Office 通用 模板 进行 传播 ,如 著名 的 美丽 落 (Macro. Melissa) 。 

6. 后 门 病毒 

后 门 病毒 的 前 组 是 Backdoor。 该 类 病毒 的 公有 特性 是 通过 网 络 传 播 ,给 系统 开 后 
门 , 给 用 户 计算 机 带 来 安全 隐患 ,如 IRC 后 门 Backdoor. IRCBot。 

7. 病毒 种 植 程序 病毒 

这 类 病毒 的 公有 特性 是 运行 时 会 从 体内 释放 出 一 个 或 几 个 新 的 病毒 到 系统 目录 下 ， 
由 释放 出 来 的 新 病毒 产生 破坏 ,如 冰河 播种 者 (Dropper. BingHe2. 2C)、MSN 射手 
(Dropper. Worm. Smibag) 等 。 

8. 破坏 性 程序 病毒 

破坏 性 程序 病毒 的 前 组 是 Harm。 这 类 病毒 的 公有 特性 是 本 身 具 有 好 看 的 图 标 来 请 
惑 用 户 点 击 , 当 用 户 点 击 这 类 病毒 时 ,病毒 便 会 直接 对 用 户 计算 机 造成 破坏 ,如 格式 化 C 
盘 (Harm. formatC. f)、 杀 手 命令 (Harm. Command. Killer) 等 。 

9. 玩笑 病毒 

玩笑 病毒 的 前 组 是 Joke, 也 称 恶 作 剧 病毒 。 这 类 病毒 的 公有 特性 是 本 身 具 有 好 看 的 
图 标 来 诱惑 用 户 点 击 , 当 用 户 点 击 这 类 病毒 时 ,病毒 会 做 出 各 种 破坏 操作 来 吓 路 用 户 , 其 
实 病毒 并 没有 对 用 户 计算 机 进行 任何 破坏 ,如 女 鬼 (Joke. Girlghost) 病 毒 。 

10. 捆绑 机 病毒 

捆绑 机 病毒 的 前 组 是 Binder。 这 类 病毒 的 公有 特性 是 病毒 作者 会 使 用 特定 的 捆绑 程 
序 将 病毒 与 一 些 应 用 程序 如 QQ IE 捆绑 起 来 , 当 用 户 运 行 这 些 捆 绑 病 毒 时 ,表面 上 看 是 
运行 这 些 应 用 程序 ,实际 是 运行 捆绑 在 一 起 的 隐藏 的 病毒 ,从 而 给 用 户 造成 危害 ,如 捆绑 
QQ (Binder. QQPass. QQBin) 、 系 统 杀 手 (Binder. killsys) 等 。 

11. 其 他 少见 的 病毒 前 级 

有 时 候 还 会 看 到 一 些 其 他 的 病毒 前 缓 ,具体 如 下 。 

DoS: 会 针对 某 台 主机 或 者 服务 器 进行 DoS 攻击 。 

Exploit: 会 自动 通过 溢出 对 方 或 者 自己 的 系统 漏洞 来 传播 自身 ,或 者 他 本 身 就 是 一 
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个 用 于 Hacking 的 溢出 工具 。 
HackTool: 黑客 工具 ,本 身 并 不 破坏 计算 机 系统 ,但 是 会 被 别人 加 以 利用 来 用 你 做 
替身 去 破坏 别人 。 
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在 计算 机 病毒 所 具有 的 特征 中 ,传染 性 、 潜 伏 性 、 触 发 性 和 破坏 性 是 它 的 基本 特征 。 
它 还 有 隐蔽 性 、 针 对 性 、 衍 生性 和 不 可 预见 性 等 特征 。 


1. 传染 性 


病毒 的 传染 性 也 称 为 自我 复制 和 可 传播 性 ,这 是 计算 机 病毒 的 本 质 特征 。 在 一 定 条 
件 下 ,病毒 通过 某 种 渠道 从 一 个 文件 或 一 台 计算 机 传染 到 另外 没有 被 感染 的 文件 或 计算 
机 , 轻 则 造成 被 感染 的 计算 机 数据 或 工作 失常 ; 重 则 使 计算 机 瘫痪 。 病 毒 代码 就 是 靠 这 种 
机 制 大 量 传播 和 扩散 的 。 携 带 病毒 代码 的 文件 称 为 计算 机 病毒 载体 或 带 毒 程序 。 每 一 台 
被 感染 了 病毒 的 计算 机 ,本 身 是 一 个 受害 者 ,又 是 计算 机 病毒 的 传播 者 ,通过 各 种 可 能 的 
渠道 ,如 光盘 、 活 动 硬盘 .网络 去 传染 其 他 的 计算 机 。 在 染 毒 的 计算 机 上 曾经 使 用 过 的 U 
盘 , 很 有 可 能 已 被 计算 机 病毒 感染 .如果 拿 到 其 他 机 器 上 使 用 ,病毒 就 会 通过 带 毒 软盘 传 
染 这 些 机 器 。 如 果 计 算 机 已 经 联网 ,通过 数据 或 程序 共享 ,病毒 就 可 以 迅速 传染 与 之 相连 
的 计算 机 ,车 不 加 以 控制 ,就 会 在 很 短 的 时 间 内 传 遍 整 个 世界 。 


2. 潜伏 性 


病毒 的 潜伏 性 是 指 具有 依附 于 其 他 媒体 寄生 的 能 力 。 一 个 编制 巧妙 的 病毒 程序 ,可 
以 在 几 周 或 几 个 月 内 进行 传播 和 再 生 而 不 被 发 党 。 在 此 期 间 ,系统 的 备份 设备 复制 病毒 
程序 ,生成 程序 或 数据 的 副本 并 送 到 其 他 的 部 位 使 之 传染 。 大 部 分 的 病毒 在 感染 系统 之 
后 一 般 不 会 马上 发 作 , 它 可 长 期 隐藏 在 系统 中 ,只 有 在 满足 其 特定 条 件 时 才 启 动 其 表现 
(破坏 ) 模 块 。 只 有 这 样 , 它 才能 进行 广泛 的 传播 。 如 著名 的 “黑色 星期 五 病毒 在 每 人 逢 13 
号 的 星期 五 发 作 。 国 内 的 “上 海 一 号 ?病毒 会 在 每 年 3、6、9 月 的 13 号 发 作 。 这 些 病 毒 在 
平时 会 隐藏 得 很 好 ,只 有 在 发 作 日 才 会 露出 本 来 面目 。 


3. 触发 性 


触发 性 是 指 计 算 机 病毒 的 发 作 一 般 都 有 一 个 激发 条 件 , 即 一 个 条 件 控制 。 这 个 条 件 
根据 病毒 编制 者 的 要 求 可 以 是 日 期 时间、 特定 程序 的 运行 或 程序 的 运行 次 数 等 。 


4. 破坏 性 


任何 病毒 只 要 侵入 系统 ,都 会 对 系统 及 应 用 程序 产生 程度 不 同 的 影响 。 轻 者 会 降低 
计算 机 工作 效率 ,占用 系统 资源 , 重 者 可 致 系统 崩溃 。 由 此 特性 可 将 病毒 分 为 良性 病毒 与 
恶性 病毒 。 良 性 病毒 可 能 只 显示 些 画 面 或 播 出 点 音乐 .无聊 的 语句 ,或 者 根本 没有 任何 破 
坏 动作 ,但 会 占用 系统 资源 。 这 类 病毒 较 多 ,如 GENP .小 球 、W-BOOT 等 病毒 。 恶 性 病 
毒 则 有 明确 的 目的 ,或 破坏 数据 、 删 除 文件 或 加 密 磁盘 、 格 式 化 磁盘 ,有 的 对 数据 造成 不 可 
挽回 的 破坏 。 
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5. 隐藏 性 


病毒 一 般 是 指 编写 巧妙 .短小精悍 的 程序 。 通 常 附 在 正常 程序 中 或 磁盘 较 隐蔽 的 地 
方 ,也 有 个 别 的 以 隐 含 文件 形式 出 现 , 目 的 是 不 让 用 户 发 现 它 的 存在 。 系 统 被 感染 病毒 
后 ,一般 情况 下 用 户 是 感觉 不 到 它 的 存在 的 ,只 有 其 改作, 出现 不 正常 反应 时 用 户 才 知道 。 


6. 针对 性 


计算 机 病毒 是 针对 特定 的 计算 机 和 特定 的 操作 系统 的 。 例 如 ,有 针对 IBM/PC 及 其 
兼容 机 的 ,有 针对 Apple 公司 的 Macintosh 的 ,还 有 针对 UNIX 操作 系统 的 。 如 小 球 病毒 
是 针对 IBM PC 及 其 兼容 机 上 的 DOS 操作 系统 的 。 


7. 衍生 性 


这 种 特性 为 病毒 制造 者 提供 了 一 种 创造 新 病毒 的 捷径 。 分 析 计 算 机 病毒 的 结构 可 
知 , 传 染 的 破坏 部 分 反映 了 设计 者 的 设计 思想 和 设计 目的 ,但 是 ,这 可 以 被 其 他 掌握 原理 
的 人 以 其 个 人 的 企图 进行 任意 改动 ,从 而 衍生 出 一 种 不 同 于 原版 本 的 新 的 计算 机 病毒 (又 
称 为 变种 ) ,这 就 是 它 的 衍生 性 。 这 种 变种 病毒 造成 的 危害 可 能 比 原版 病毒 严重 得 多 。 

8. 不 可 预见 性 

不 同 种 类 病毒 的 代码 千差万别 ,病毒 的 制作 技术 也 在 不 断 地 提高 ,病毒 相 比 反 病 毒 软 
件 永远 是 超前 的 。 新 的 操作 系统 和 应 用 系统 的 出 现 , 软 件 技术 的 不 断 发 展 ,也 为 计算 机 病 


毒 提供 了 新 的 发 展 空间 ,对 未 来 病毒 的 预测 更 加 困难 ,这 就 要 求人 们 不 断 提高 对 病毒 的 认 
识 , 增 强 防 范 意识 。 
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从 第 一 个 病毒 出 世 以 来 ,病毒 的 数量 在 不 断 增 加 。 据 国外 统计 ,计算 机 病毒 以 每 周 
10 种 的 速度 递增 。 按 照 基本 类 型 划分 ,可 归纳 为 6 种 类 型 , 即 引导 型 病毒 、 可 执行 文件 病 
毒 , 宏 病毒 混合 型 病毒 ,特洛伊 木马 病毒 和 网 页 病毒 。 


1. 引导 型 病毒 


引导 型 病毒 主要 感染 软盘 、 硬 盘 的 引导 扇 区 或 主 引导 扇 区 ,在 用 户 对 磁盘 进行 读 写 操 
作 时 进行 感 当 活动。 我 国 流 行 的 引导 型 病毒 有 AntirCMOS、GENP/GENB、Stone、 
Torch、Monkey 等 。 


2. 可 执行 文件 病毒 


可 执行 文件 病毒 主要 感染 可 执行 文件 (对 于 DOS 或 Windows 来 说 是 感染 . COM 和 
. EXE 等 可 执行 文件 )。 被 感染 的 可 执行 文件 在 执行 的 同时 ,病毒 被 加 载 并 向 其 他 正常 的 
可 执行 文件 传染 。 像 我 国 流行 的 Die_Hard、DIR 等 病毒 都 属 此 列 。 
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3. 宏 病 毒 


宏 病 毒 是 利用 高 级 语言 一 一 宏 语言 编制 的 病毒 。 宏 病毒 仅 向 Word、Excel、 Access、 
PowerPoint 和 Project 等 办 公 自 动 化 程序 编制 的 文档 进行 传染 ,而 不 会 传染 给 可 执行 文 
件 。 由 于 这 些 办 公 处 理 程序 在 全 球 存在 着 广泛 的 用 户 , 大 家 频繁 使 用 这 些 程序 编制 文档 、 
电子 表格 和 数据 库 , 并 通过 磁盘 、Internet 进行 交换 ,所 以 , 宏 病 毒 的 传播 十 分 迅速 并 非常 
广泛 。 国 内 流行 的 宏 病 毒 有 TaiWanl、Concept、Simple2、ethan、7 月 杀手 等 。 我 们 所 说 
的 蠕虫 病毒 也 属于 宏 病 毒 范围 。 


4. 混合 型 病毒 


顾名思义 ,混合 型 病毒 是 以 上 几 种 病毒 的 混合 。 混 合 型 病毒 的 目的 是 为 了 综合 利用 
以 上 3 种 病毒 的 传染 渠道 进行 破坏 。 国 内 流行 的 混合 型 病毒 有 One_half、Casper、 Natas、 
Flip 等 。 


5. 特洛伊 木马 病毒 


特洛伊 木马 病毒 也 叫 黑客 程序 或 后 门 病毒 。 一 般 这 种 病毒 分 成 服务 器 端 和 客户 端 两 
部 分 ,如 计算 机 网 络 中 服务 器 端 被 此 程序 感染 ,别人 可 通过 网 络 中 其 他 计算 机 任意 控制 此 
计算 机 ,并 获得 重要 文件 。 国 内 流行 的 此 类 病毒 有 BO、NETSPY 等 。 


6. 网 页 病毒 


随 着 Internet 的 发 展 ,网 络 技术 逐渐 被 广泛 应 用 , 某 些 病毒 虽然 从 现在 的 发 展 情况 来 
看 并 不 能 破坏 硬盘 上 的 资料 ,但 是 ,如 果 用 户 使 用 浏览 器 来 浏览 含有 这 些 病毒 的 网 页 , 浏 
览 器 就 会 把 这 些 程 序 抓 下 来 ,然后 用 用 户 系统 里 的 资源 去 执行 ,在 神 不 知 鬼 不 觉 的 状态 
下 ,病毒 进入 用 户 的 计算 机 进行 复制 并 通过 网 络 窃取 宝贵 的 个 人 信息 ,或 使 计算 机 系统 资 
源 利 用 率 下 降 ,造成 死机 现象 。 并 且 该 病毒 会 在 一 台 一 台 的 终端 上 不 断 传播 。 
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认 清 计算 机 病毒 的 结构 和 主要 特征 ,了 解 计算 机 病毒 的 工作 的 一 般 过 程 及 原理 ,可 以 
为 我 们 检测 和 清除 病毒 提供 充实 可靠 的 依据 ,针对 每 个 环节 做 出 相应 的 防范 措施 。 


1. 计算 机 病毒 的 工作 过 程 


计算 机 病毒 的 完整 工作 过 程 一 般 应 包括 以 下 几 个 环节 。 

(1) 传染 源 。 病 毒 总 是 依附 于 某 些 如 硬盘 这 样 的 存储 介质 ,这 些 存储 介质 构成 传 
染 源 。 

(2) 传染 媒介 。 病 毒 传染 的 媒介 由 工作 环境 来 决定 ,可 能 是 计算 机 网 ,也 可 能 是 可 移 
动 的 存储 介质 。 

(3) 病毒 激活 。 是 指 将 病毒 装 入 内 存 ,并 设置 触发 条 件 , 触 发 的 条 件 是 多 样 化 的 ,可 
以 是 内 部 时 钟 、 系 统 的 日 期 \ 用 户 标 识 符 ,也 可 能 是 系统 一 次 通信 等 。 一 旦 触发 条 件 成 熟 ， 
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病毒 就 开始 作用 ,自我 复制 到 传染 对 象 中 ,进行 各 种 破坏 活动 。 

(4) 病毒 表现 。 表 现 是 病毒 的 主要 目的 之 一 ,有 时 在 屏幕 显示 出 来 ,有 时 则 表现 为 破 
坏 系统 数据 。 可 以 这 样 说 ,凡是 软件 技术 能 够 触发 到 的 地 方 , 都 在 其 表现 范围 内 。 

(5) 传染 。 病 毒 的 传染 是 病毒 性 能 的 一 个 重要 标志 。 在 传染 环节 中 ,病毒 复制 一 个 
自身 副本 到 传染 对 象 中 去 。 


2. 计算 机 病毒 的 引导 机 制 


(1) 计算 机 病毒 的 寄生 对 象 

计算 机 病毒 存储 在 磁盘 上 ,为 了 进行 自身 的 主动 传播 ,必须 寄生 在 可 以 获得 执行 权 的 
寄生 对 象 上 。 就 目前 出 现 的 各 种 计算 机 病毒 来 看 ,其 寄生 对 象 有 两 种 ,一 种 是 寄生 在 磁盘 
引导 扇 区 ; 另 一 种 是 寄生 在 可 执行 文件 (. EXE 或 .COM) 中。 不 论 是 磁盘 引导 扇 区 还 是 
可 执行 文件 ,它们 都 有 获取 执行 权 的 可 能 ,病毒 程序 寄生 在 它们 的 上 面 , 就 可 以 在 一 定 条 
件 下 获得 执行 权 , 从 而 使 病毒 得 以 进入 计算 机 系统 ,并 处 于 激活 状态 ,然后 进行 病毒 的 动 
态 传播 和 破坏 活动 。 

(2) 计算 机 病毒 的 寄生 方式 

计算 机 病毒 的 寄生 方式 有 两 种 ,一 种 是 采用 替代 法 ; 另 一 种 是 采用 链接 法 。 所 谓 替 代 
法 ,是 指 病毒 程序 用 自己 的 部 分 或 全 部 指令 代码 ,替代 磁盘 引导 扇 区 或 文件 中 的 全 部 或 部 
分 内 容 。 所 谓 链接 法 , 则 是 指 病毒 程序 将 自身 代码 作为 正常 程序 的 一 部 分 与 原 有 正常 程 
序 链接 在 一 起 ,病毒 链接 的 位 置 可 能 在 正常 程序 的 首部 、 尾 部 或 中 间 , 寄 生 在 磁盘 引导 扇 
区 的 病毒 一 般 采 取 替 代 法 ,而 寄生 在 可 执行 文件 中 的 病毒 一 般 采 用 链接 法 。 

(3) 驻 留 内 存 

计算 机 病毒 若 要 发 挥 破坏 作用 ,要 开辟 所 用 内 存 空间 或 覆盖 系统 占用 的 部 分 内 存 空 
间 以 便 驻 留 内 存 。 当 病毒 程序 驻 留 内 存 后 ,必须 使 有 关 部 分 取代 或 扩充 系统 的 原 有 功能 ， 
并 窃取 系统 的 控制 权 。 此 后 病毒 程序 依据 其 设计 思想 ,隐藏 自己 ,等 待 时 机 ,在 条 件 成 熟 
时 ,再 进行 传染 和 破坏 。 

病毒 为 隐藏 自己 , 驻 留 内 存 后 还 要 恢复 系统 ,使 系统 不 会 死机 ,只 有 这 样 才能 等 待 时 
机 成 熟 后 ,进行 感染 和 破坏 的 目的 。 有 的 病毒 在 加 载 之 前 进行 动态 反 跟踪 和 病毒 体 解密 。 

对 于 寄生 在 磁盘 引导 扇 区 的 病毒 来 说 ,病毒 引导 程序 占用 了 原 系统 引导 程序 的 位 置 ， 
并 把 原 系统 引导 程序 转移 到 一 个 特定 的 地 方 。 这 样 系统 一 启动 ,病毒 引导 模块 就 会 自动 
地 装 和 内存 并 获得 执行 权 , 然 后 该 引导 程序 负责 将 病毒 程序 的 传染 模块 和 发 作 模块 装 和 人 
内 存 的 适当 位 置 ,并 采取 常 驻 内 存 技术 以 保证 这 两 个 模块 不 会 被 覆盖 ,接着 对 这 两 个 模块 
设 定 某 种 激活 方式 ,使 之 在 适当 的 时 候 获得 执行 权 。 这 些 工作 完成 后 ,病毒 引导 模块 装 入 
内 存 , 使 系统 在 带 病 毒 的 状态 下 运行 。 

对 于 寄生 在 可 执行 文件 中 的 病毒 来 说 ,病毒 程序 一 般 通 过 修改 原 有 可 执行 文件 ,使 该 
文件 执行 时 首先 转 和 病毒 程序 引导 模块 ,该 引导 模块 负责 把 病毒 程序 的 其 他 两 个 模块 驻 
留 内 存 及 进行 初始 化 的 工作 ,然后 把 执行 权 交 给 执行 文件 ,使 系统 及 执行 文件 在 带 毒 的 状 
态 下 运行 。 
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3. 计算 机 病毒 的 触发 机 制 


传染 潜伏、 可 触发 .破坏 是 病毒 的 基本 特性 。 可 和 触发 性 是 病毒 的 攻击 性 和 潜伏 性 之 
间 的 调整 杠杆 ,可 以 控制 病毒 感染 和 破坏 的 频 度 , 兼 顾 杀 伤 力 和 潜伏 性 。 

过 于 苛刻 的 触发 条 件 ,可 能 使 病毒 有 好 的 潜伏 性 ,但 不 易 传播 ,杀伤 力 较 低 。 而 过 于 
宽松 的 触发 条 件 将 导致 病毒 频繁 感染 与 破坏 ,容易 暴露 ,导致 用 户 做 反 病毒 处 理 ,也 不 能 
有 大 的 杀伤 力 。 

计算 机 病毒 在 传染 和 发 作 之 前 ,往往 要 判断 某 些 特定 条 件 是 否 满足 ,满足 则 传染 或 发 
作 , 否 则 不 传染 、 不 发 作 或 只 传染 不 发 作 ,这 个 条 件 就 是 计算 机 病毒 的 触发 条 件 。 

实际 上 病毒 采用 的 触发 条 件 花 样 繁多 ,目前 病毒 采用 的 触发 条 件 主要 有 以 下 几 种 。 

(1) 时 间 触 发 。 时 间 触 发 包括 特定 的 时 间 触 发 . 染 毒 后 累计 工作 时 间 触 发 ,文件 最 后 
写 人 时 间 和 触发 等 。 

(2) 键盘 触发 。 有 些 病 毒 监 视 用 户 的 击 键 动作 , 当 发 现 病毒 预定 的 输入 时 ,病毒 被 激 
活 , 进 行 某 些 特定 操作 。 键 盘 触 发 包括 击 键 次 数 触发 .组 合 键 触发 . 热 启动 触发 等 。 

(3) 日 期 触发 。 许 多 病毒 采用 日 期 作为 触发 条 件 。 日 期 触发 大 体 包括 特定 日 期 触 
发 .月份 触发 .前 半年 后 半年 触发 等 。 

(4) 启动 触发 。 病 毒 对 机 器 的 启动 次 数 计数 ,并 将 此 值 作为 触发 条 件 称 为 启动 触发 。 

(5) 访问 磁盘 次 数 触 发 。 病 毒 对 磁盘 IO 访问 的 次 数 进行 计数 ,以 预定 次 数 做 触发 
条 件 称 为 访问 磁盘 次 数 触发 。 

(6) 调用 中 断 功能 触发 。 病 毒 对 中 断 调 用 次 数 计数 ,以 预定 次 数 做 触发 条 件 。 

被 计算 机 病毒 使 用 的 触发 条 件 是 多 种 多 样 的 ,而 且 往往 不 只 是 使 用 上 面 所 述 的 某 一 
个 条 件 , 而 是 使 用 多 个 条 件 组 合 起 来 的 触发 条 件 。 大 多 数 病毒 的 组 合 触发 条 件 是 基于 时 
间 的 ,再 加 上 读 、 写 操作 ,按键 操作 及 其 他 条 件 。 如 * 侵 略 者 "病毒 的 激发 时 间 是 开机 后 机 
器 运行 时 间 和 病毒 传染 个 数 成 某 个 比例 时 ,恰好 按 Ctrl 十 Alt 十 Del 组 合 键 试图 重新 启动 
系统 则 病毒 发 作 。 

病毒 中 有 关 触 发 机 制 的 编码 是 其 敏感 部 分 。 剂 析 病 毒 时 ,如 果 搞 清 病毒 的 触发 机 制 ， 
可 以 修改 此 部 分 代码 ,使 病毒 失效 ,就 可 以 产生 没有 潜伏 性 的 极为 外 露 的 病毒 样本 , 供 反 
病毒 研究 使 用 。 


4. 计算 机 病毒 的 破坏 行为 


计算 机 病毒 的 破坏 行为 体现 了 病毒 的 杀伤 能 力 。 病 毒 破坏 行为 的 激烈 程度 取决 于 病 
毒 作者 的 主观 愿望 和 他 所 具有 的 技术 能 量 。 数 以 万 计 、 不 断 发 展 扩张 的 病毒 ,其 破坏 行为 
千奇百怪 ,不 可 能 穷 举 。 我 们 可 以 把 病毒 的 破坏 目标 和 攻击 部 位 归纳 如 下 。 

(1) 攻击 系统 数据 区 。 攻 击 部 位 包括 硬盘 主 引导 区 、Boot 扇 区 .FAT 表 、 文 件 目录 。 
一 般 来 说 ,攻击 系统 数据 区 的 病毒 是 恶性 病毒 , 受 损 的 数据 不 易 恢复 。 

(2) 攻击 文件 。 病 毒 对 文件 的 攻击 方式 很 多 ,可 列举 如 下 : 删除 ` 改 名、 替换 内 容 、 丢 
失 部 分 程序 代码 内 容 和 颠倒 ` 写 人 时 间 空 白 \ 变 碎片 、 假 冒 文件 .丢失 文件 复 、 丢 失 数据 
交 件 。 
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(3) 攻击 内 存 。 内 存 是 计算 机 的 重要 资源 ,也 是 病毒 的 攻击 目标 。 病 毒 额外 地 占用 
和 消耗 系统 的 内 存 资源 ,可 以 导致 一 些 大 程序 受阻 。 病 毒 攻击 内 存 的 方式 如 下 : 占用 大 
量 内 存 、 改 变 内 存 总 量 、 禁 止 发 配 内 存 、 和 不 食 内 存 。 

(4) 干扰 系统 运行 。 病 毒 会 干扰 系统 的 正常 运行 ,以 此 作为 自己 的 破坏 行为 。 此 类 
行为 也 是 花样 繁多 ,如 不 执行 命令 干扰 内 部 命令 的 执行 、 虚 假 报警 、 打 不 开 文 件 、 内 部 栈 
溢出、 占用 特殊 数据 区 、 换 现行 盘 \ 时 钟 倒转 、 重 启动 、 死 机、 强制 游戏 ,扰乱 串 并 口 。 

(5) 运行 速度 下 降 。 病 毒 激活 时 ,其 内 部 的 时 间 延 迟 程序 启动 。 在 时 钟 中 纳入 了 时 
间 的 循环 计数 ,迫使 计算 机 空转 ,计算 机 速度 明显 下 降 。 

(6) 攻击 磁盘 。 攻 击 磁盘 数据 、 不 写 盘 、 写 操作 变 读 操作 、 写 盘 时 丢 字 节 。 

(7) 攻击 CMOS。 在 机 器 的 CMOS 区 中 ,保存 着 系统 的 重要 数据 。 如 系统 时 钟 、 磁 
盘 类 型 ,内存 容量 等 ,并 具有 校 验 和 。 有 的 病毒 在 激活 后 ,能 够 对 CMOS 区 进行 写 人 动 
作 ,破坏 系统 CMOS 中 的 数据 。 


5. 计算 机 病毒 的 传播 


(1) 计算 机 病毒 传播 的 一 般 过 程 

在 系统 运行 时 ,计算 机 病毒 通过 病毒 载体 即 系统 的 外 存储 器 进入 系统 的 内 存储 器 , 常 
驻 内 存 。 该 病毒 在 系统 内 存 中 监视 系统 的 运行 , 当 它 发 现 有 攻击 的 目标 存在 并 满足 条 件 
时 , 便 从 内 存 中 将 自身 存 人 被 攻击 的 目标 ,从 而 将 病毒 进行 传播 。 

(2) 计算 机 病毒 的 传播 途径 

计算 机 病毒 具有 自我 复制 和 传播 的 特点 ,因此 ,研究 计算 机 病毒 的 传播 途径 是 极为 重 
要 的 。 从 计算 机 病毒 的 传播 机 制 分 析 可 知 ,只 要 是 能 够 进行 数据 交换 的 介质 都 可 能 成 为 
计算 机 病毒 传播 途径 。 现 在 通过 Internet 传播 计算 机 病毒 与 过 去 手工 传播 计算 机 病毒 的 
方式 相 比 速度 要 快 得 多 。 

目前 ,网 络 和 电子 邮件 已 经 成 为 最 重要 的 病毒 传播 途径 。 

网 络 是 由 相互 连接 的 一 组 计算 机 组 成 的 ,这 是 数据 共享 和 相互 协作 的 需要 。 数 据 能 
从 一 台 计 算 机 发 送 到 其 他 计算 机 上 。 如 果 发 送 的 数据 感染 了 计算 机 病毒 ,接收 方 的 计算 
机 将 自动 被 感染 ,因此 ,有 可 能 在 很 短 的 时 间 内 感染 整个 网 络 中 计算 机 。 

局 域 网 络 技术 的 应 用 为 企业 的 发 展 做 出 了 巨大 贡献 ,同时 也 为 计算 机 病毒 的 迅速 传 
播 创造 了 条 件 。 特 别 是 Internet, 已 经 越 来 越 多 地 被 用 于 获取 信息 、 发 送 和 接收 文件 、 接 
收 和 发 布 新 的 消息 及 下 载 文 件 的 程序 。 随 着 Internet 的 高 速 发 展 ,计算 机 病毒 也 走 上 了 
高 速 传 播 之 路 ,已 经 成 为 计算 机 病毒 的 第 一 传播 途径 。 除 了 传统 的 文件 型 计算 机 病毒 以 
文件 下 载 , 电 子 邮 件 的 附件 等 形式 传播 外 ,电子 邮件 计算 机 病毒 .如 “美丽 莎 ”计算 机 病毒 、 
“我 爱 你 ”计算 机 病毒 等 则 是 完全 依靠 网 络 来 传播 的 。 甚 至 还 有 利用 网 络 分 布 计算 机 技术 
将 自身 分 成 若干 部 分 ,隐藏 在 不 同 的 主机 上 进行 传播 的 计算 机 病毒 。 

可 移动 式 磁盘 包括 CD-ROM ,移动 磁盘 等 .后 者 仅仅 是 存储 容量 比较 大 的 特殊 磁盘 。 
盗版 光盘 上 的 软件 和 游戏 及 非法 拷贝 是 目前 传播 计算 机 病毒 主要 途径 之 一 。 随 着 大 容量 
可 移动 存储 设备 的 普遍 使 用 ,这 些 存 储 介质 也 成 为 计算 机 病毒 寄生 的 场所 。 硬 盘 是 现在 
数据 的 主要 存储 介质 ,因此 ,也 是 计算 机 病毒 感染 的 重 灾区 。 


| Co | 计算 机 网 络 久 全 技 市 案例 故 程 | 


计算 机 病毒 也 可 以 通过 点 对 点 通信 系统 和 无 线 通道 传播 。 但 目前 这 种 传播 途径 还 不 
是 十 分 广泛 ,但 预计 在 未 来 的 信息 时 代 , 这 种 途径 很 可 能 与 网 络 传播 途径 成 为 病毒 扩散 的 
两 大 途径 。 


715 计算 机 病毒 的 检测 、 防 范 和 清 杀 


随 着 网 络 的 发 展 ,伴随 而 来 的 计算 机 病毒 传播 问题 越 来 越 引起 人 们 的 关注 。Internet 
的 普及 使 有 些 计算 机 病毒 借助 网 络 爆发 流行 ,如 CIH、 爱 虫 .硬盘 杀 手 、 好 大 (I-Worm/ 
Sobig) 等 病毒 ,它们 与 以 往 的 计算 机 病毒 相 比 具有 一 些 新 的 特点 ,给 广大 计算 机 用 户 带 来 
了 极 大 的 损失 。 

在 与 计算 机 病毒 的 对 抗 中 ,如 果 能 采取 有 效 的 防范 措施 ,就 能 使 系统 不 染 毒 ,或 者 染 
毒 后 能 减少 损失 。 当 计算 机 系统 或 文件 染 有 计算 机 病毒 时 ,需要 检测 和 清除 。 但 是 , 隐 性 
计算 机 病毒 和 多 态 性 计算 机 病毒 使 人 难以 检测 。 


1. 计算 机 病毒 的 检测 


判断 自己 的 计算 机 中 是 否 染 有 病毒 ,最 简单 的 方法 是 用 较 新 的 防 病毒 软件 对 磁盘 进 
行 全 面 的 检测 。 无 论 什 么 病毒 ,在 其 侵入 系统 后 总 会 留 下 一 些 “ 蛛 丝 马 迹 ”。 如 何 能 够 及 
早 地 发 现 新 病毒 呢 ? 

常用 的 检测 病毒 方法 有 特征 代码 法 、 校 验 和 法 ,行为 监测 法 ,软件 模拟 法 ,这 些 方法 依 
据 的 原理 不 同 , 实 现时 所 需 开 销 不 同 , 检 测 范围 不 同 ,各 有 所 长 。 

(1) 特征 代码 法 

特征 代码 法 被 早期 应 用 于 SCAN、CPAYV 等 著名 病毒 检测 工具 中 。 国 外 专家 认为 特 
征 代码 法 是 检测 已 知 病毒 的 最 简单 .开销 最 小 的 方法 。 

特征 代码 法 的 实现 步骤 如 下 : 采集 已 知 病毒 样本 ,病毒 如 果 既 感染 . COM 文件 又 感 
染 . EXE 文件 ,对 这 种 病毒 要 同时 采集 . COM 型 病毒 样本 和 . EXE 型 病毒 样本 。 在 病毒 
样本 中 ,抽取 特征 代码 。 

打开 被 检测 文件 ,在 文件 中 搜索 ,检查 文件 中 是 否 含有 病毒 数据 库 中 的 病毒 特征 代 
码 。 如 果 发 现 病毒 特征 代码 ,由 于 特征 代码 与 病毒 一 一 对 应 , 便 可 以 断定 ,被 查 文件 中 患 
有 何 种 病毒 。 

采用 病毒 特征 代码 法 的 检测 工具 , 面 对 不 断 出 现 的 新 病毒 ,必须 不 断 更 新 版 本 ,否则 
检测 工具 便 会 老化 ,逐渐 失去 实用 价值 。 病 毒 特征 代码 法 对 从 未 见 过 的 新 病毒 ,自然 无 法 
知道 其 特征 代码 ,因而 无 法 去 检测 这 些 新 病毒 。 

特征 代码 法 检测 准确 快速 ,可 识别 病毒 的 名 称 、 误 报警 率 低 \ 依 据 检测 结果 ,可 做 解毒 
处 理 。 但 不 能 检测 未 知 病毒 、 需 搜集 已 知 病毒 的 特征 代码 ,费用 开销 大 在 网 络 上 效率 低 
(在 网 络 服务 器 上 , 因 长 时 间 检 索 会 使 整个 网 络 性 能 降低 ) 是 它 的 缺点 。 

(2) 校 验 和 法 

计算 正常 文件 内 容 的 校 验 和 ,将 该 校 验 和 写 入 文件 中 或 写 入 别 的 文件 中 保存 。 在 文 
件 使 用 过 程 中 ,定期 地 或 每 次 使 用 文件 前 ,检查 文件 现在 内 容 算 出 的 校 验 和 与 原来 保存 的 
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校 验 和 是 否 一 致 ,因而 可 以 发 现 文件 是 否 感染 ,这 种 方法 叫 校 验 和 法 , 它 既 可 发 现 已 知 病 
毒 又 可 发 现 未 知 病毒 。 

校 验 和 法 方法 较 简单 ,能 发 现 未 知 病毒 ,即使 被 查 文件 发 生 细 微 变化 也 能 发 现 ,但 发 
布 通行 记录 正常 态 的 校 验 和 , 误 报警 .不 能 识别 病毒 名 称 、 不 能 对 付 隐蔽 型 病毒 是 它 的 
缺点 。 

(3) 行为 监测 法 

行为 监测 法 是 指 利用 病毒 的 特有 行为 特征 性 来 监测 病毒 的 方法 。 病 毒 有 一 些 共 同行 
为 ,而 且 比较 特殊 。 在 正常 程序 中 ,这 些 行为 比较 罕见 。 当 程序 运行 时 ,监视 其 行为 ,如 果 
发 现 了 病毒 行为 , 则 立即 报警 。 

行为 监测 法 可 以 发 现 未 知 病毒 ,可 相当 准确 地 预报 未 知 的 多 数 病毒 。 可 能 误 报警 ,不 
能 识别 病毒 名 称 、 实 现时 有 一 定 难度 是 它 的 缺点 。 


2. 计算 机 病毒 的 防范 


防范 是 对 付 计 算 机 病毒 的 积极 而 有 效 的 措施 , 相 比 等 待 计算 机 病毒 出 现 之 后 再 去 扫 
描 和 清除 能 更 有 效 地 保护 计算 机 系统 。 要 做 好 计算 机 病毒 的 防范 工作 ,首先 是 防范 体系 
和 制度 的 建立 ;其 次 ,利用 反 病 毒 软件 及 时 发 现 计算 机 病毒 侵入 ,对 它 进行 监视 .跟踪 等 操 
作 ,并 采取 有 效 的 手段 阻止 它 的 传播 和 破坏 。 

老 一 代 的 反 病毒 软件 只 能 对 计算 机 系统 提供 有 限 的 保护 ,只 能 识别 已 知 的 计算 机 病 
毒 。 新 一 代 的 反 病毒 软件 则 不 仅 能 识别 出 已 知 的 计算 机 病毒 ,在 计算 机 病毒 运行 之 前 发 
出 警报 ,还 能 屏蔽 掉 计算 机 病毒 程序 的 传染 功能 和 破坏 功能 ,使 受 感染 的 程序 可 以 继续 运 
行 ( 即 所 谓 的 带 毒 运行 )。 同 时 还 能 利用 计算 机 病毒 的 行为 特征 ,防范 未 知 计算 机 病毒 的 
侵扰 和 破坏 。 另 外 ,新 一 代 的 反 病毒 软件 还 能 实现 超前 防御 ,将 系统 中 可 能 被 计算 机 病毒 
利用 的 资源 都 加 以 保护 ,不 给 计算 机 病毒 以 可 乘 之 机 。 

计算 机 病毒 的 工作 方式 是 可 以 分 类 的 , 反 病 毒 软 件 就 是 针对 已 归纳 总 结 出 的 这 几 类 
计算 机 病毒 工作 方式 来 进行 防范 的 。 当 被 分 析 过 的 已 知 计 算 机 病毒 出 现时 ,由 于 其 工作 
方式 早已 被 记录 在 案 , 反 病毒 软件 能 识别 出 来 ; 当 未 曾 被 分 析 过 的 计算 机 病毒 出 现时 ,如 
果 其 工作 方式 仍 可 被 归 人 已 知 的 工作 方式 , 则 这 种 计算 机 病毒 能 被 反 病毒 软件 所 捕获 。 
这 也 就 是 采取 积极 防御 措施 的 计算 机 病毒 防范 方法 优越 于 传统 方法 的 地 方 。 

当然 ,如 果 新 出 现 的 计算 机 病毒 不 按 已 知 的 方式 工作 ,这 种 新 的 传染 方式 又 不 能 被 反 
病毒 软件 所 识别 ,那么 反 病 毒 软件 也 无 能 为 力 了 。 

这 时 只 能 采取 两 种 措施 进行 保护 : 第 一 是 依靠 管理 上 的 措施 ,及 早 发 现 疫情 ,捕捉 计 
算 机 病毒 ,修复 系统 ;第 二 是 选用 功能 更 加 完善 的 .具有 更 强 超前 防御 能 力 的 反 病 毒 软件 ， 
尽 可 能 多 地 堵 住 能 被 计算 机 病毒 利用 的 系统 漏洞 。 

反 病 毒 软件 常用 以 下 几 种 反 病毒 技术 来 对 病毒 进行 预防 和 彻底 杀 除 。 

(1) 实时 监视 技术 

实时 监视 技术 为 计算 机 构筑 起 一 道 动态 、 实 时 的 反 病 毒 防线 ,通过 修改 操作 系统 ,使 
操作 系统 本 身 具备 反 病 毒 功 能 。 时 刻 监 视 系统 当中 的 病毒 活动 、 系 统 状况 ,时 刻 监视 软 
盘 、 光 盘 、Internet,、 电 子 邮件 上 的 病毒 传染 ,将 病毒 阻止 在 操作 系统 外 部 。 优 秀 的 反 病毒 
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软件 由 于 采用 了 与 操作 系统 的 底层 无 缝 连接 技术 ,实时 监视 器 占用 的 系统 资源 极 小 ,用 户 
一 方面 完全 感觉 不 到 对 机 器 性 能 的 影响 ; 另 一 方面 根本 不 用 考虑 病毒 的 问题 。 

只 要 实时 反 病 毒 软件 实时 地 在 系统 中 工作 ,病毒 就 无 法 侵入 我 们 的 计算 机 系统 。 可 
以 保证 一 旦 安装 反 病 毒 软件 ,计算 机 运行 的 每 一 秒 钟 都 会 执行 严格 的 反 病毒 检查 。 

(2) 全 平台 反 病 毒 技术 

目前 病毒 活跃 的 平台 有 Windows XP/2003/2008/ 等 。 为 了 反 病 毒 软件 做 到 与 系统 
的 底层 无 颖 连接 ,可 靠 地 实时 检查 和 杀 除 病毒 ,必须 在 不 同 的 操作 系统 平台 上 使 用 相应 平 
人 台 的 反 病毒 软件 ,如 用 的 是 Windows 的 平台 , 则 必须 用 Windows 版 本 的 反 毒 软件 。 如 果 
是 企业 网 络 ,什么 版 本 的 平台 都 有 ,那么 就 要 在 网 络 的 每 一 个 服务 器 端 和 客户 端 上 安装 相 
应 平台 的 反 病 毒 软 件 ,每 一 个 点 上 都 安装 相应 的 反 病 毒 模块 ,每 一 个 点 上 都 能 实时 地 抵御 
病毒 攻击 。 只 有 这 样 ,才能 做 到 网 络 的 真正 安全 和 可 靠 。 


7.2 网 络 病毒 的 防范 和 清除 


网 络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 , 它 的 传播 媒介 不 再 是 移动 
式 载体 ,而 是 网 络 通道 ,这 种 病毒 的 传染 能 力 更 强 ,破坏 力 更 大 。 


1. 网 络 病毒 的 防范 措施 


相对 于 单机 病毒 的 防护 来 说 网 络 病毒 的 防范 具有 更 大 的 难度 ,网 络 病毒 的 防范 应 与 
网 络 管理 集成 。 网 络 防毒 的 最 大 优势 在 于 网 络 的 管理 功能 ,如 果 没 有 把 管理 功能 加 上 ,很 
难 完成 网 络 防 毒 的 任务 ,只 有 管理 与 防范 相 结合 ,才能 保证 系统 的 良好 运行 。 管 理 功能 就 
是 管理 全 部 的 网 络 设备 与 操作 ;从 HUB、 交 换 机 、 服 务 器 到 个 人 计算 机 ,包括 硬盘 的 存 取 、 
局 域 网 上 的 信息 互通 与 Internet 的 接 驳 等 所 有 病毒 能 够 感染 和 传播 的 途径 。 

在 网 络 环境 下 ,病毒 传播 扩散 快 , 仅 用 单机 反 病 毒 产 品 已 经 难以 清除 网 络 病 毒 ,必须 
有 适用 于 局 域 网 、 广 域 网 的 全 方位 反 病 毒 产 品 。 

在 选用 反 病毒 软件 时 ,应 选择 对 病毒 具有 实时 监控 能 力 的 软件 ,这 类 软件 可 以 在 第 一 
时 间 阻止 病毒 感染 ,而 不 是 靠 事 后 去 杀毒 。 要 养 成 定期 升级 防 病毒 软件 的 习惯 ,并 且 间 隔 
时 间 不 要 太 长 ,因为 绝 大 部 分 反 病毒 软件 的 查 毒 技术 都 是 基于 病毒 特征 码 的 , 即 通过 对 已 
知 病毒 提取 其 特征 码 , 并 以 此 来 查 杀 同 种 病毒 。 对 于 每 天 都 可 能 出 现 的 新 病毒 , 反 病 毒 软 
件 会 不 断 更 新 其 特征 码 数据 库 。 

要 养 成 定期 扫描 文件 系统 的 习惯 ;对 移动 存储 介质 ,在 使 用 之 前 应 进行 查 毒 ;对 于 从 
网 上 下 载 的 文件 和 电子 邮件 附件 中 的 文件 ,在 打开 之 前 也 要 先 杀 毒 。 另 外 ,由 于 防 病毒 软 
件 总 是 滞后 于 病毒 的 ,因此 它 通 常 不 能 发 现 一 些 新 的 病毒 。 因 此 ,不 能 只 依靠 防 病毒 软件 
来 保护 系统 。 在 使 用 计算 机 时 ,还 应 当 注 意 以 下 几 点 。 

(1) 不 使 用 或 下 载 来 源 不 明 的 软件 。 

(2) 不 轻易 浏览 一 些 不 正规 的 网 站 。 

(3) 提防 电子 邮件 病毒 的 传播 。 一些 邮件 病毒 会 利用 ActiveX 控件 技术 , 当 以 
HTML 方式 打开 邮件 时 ,病毒 可 能 就 会 被 激活 。 
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(4) 经 常 关注 一 些 网 站 、BBS 发 布 的 病毒 报告 ,这 样 可 以 在 未 感染 病毒 时 做 到 预先 
防范 。 

(5) 及 时 更 新 操作 系统 ,为 系统 漏洞 打上 补丁 。 

(6) 对 于 重要 文件 ,数据 做 到 定期 备份 。 


2. 网 络 病毒 的 清 杀 


一 旦 在 网 络 上 发 现 病毒 ,应 设法 立即 清除 ,其 操作 步骤 如 下 。 

(1) 立即 通知 所 有 用 户 下 网 ,关闭 文件 服务 器 。 

(2) 用 带 有 写 保护 的 ,干净 的 系统 盘 启 动 系统 管理 员工 作 站 ,并 立即 清除 本 机 病毒 。 

(3) 用 带 有 写 保护 的 ,干净 的 系统 盘 启 动 文件 服务 器 。 系 统管 理 员 登录 并 下 命令 禁 
止 其 他 用 户 登 录 。 

(4) 将 文件 服务 器 硬盘 中 的 重要 资料 备份 。 但 严禁 执行 硬盘 上 的 程序 和 在 硬盘 中 找 
贝 文件 ,以 免 破坏 被 病毒 搞 乱 的 硬盘 数据 结构 。 

(5) 用 杀毒 软件 扫描 服务 器 上 所 有 的 文件 ,恢复 或 删除 被 病毒 感染 的 文件 ,重新 安装 
被 删除 的 文件 。 

(6) 用 杀毒 软件 扫描 并 清除 所 有 可 能 染 上 病毒 的 磁盘 或 备份 文件 中 的 病毒 。 

(7) 用 杀毒 软件 扫描 并 清除 所 有 有 盘 工 作 站 硬盘 上 的 病毒 。 

(8) 在 确信 病毒 已 经 彻底 清除 后 ,重新 启动 网 络 和 工作 站 。 


7.3 典型 的 网 络 病毒 


731 宏 病 毒 
1. 宏 病 毒 的 定义 


宏 病 毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文档 ,其 中 
的 宏 就 会 被 执行 ,于 是 宏 病 毒 就 会 被 激活 而 转移 到 计算 机 上 ,并 驻 留 在 Normal 模板 上 。 
从 此 以 后 ,所 有 自动 保存 的 文档 都 会 感染 上 这 种 宏 病毒 ,而 且 如 果 其 他 用 户 打 开 了 感染 病 
毒 的 文档 , 宏 病 毒 就 会 转移 到 他 的 计算 机 上 。 如 果 某 个 文档 中 包含 了 宏 病 毒 ,此 文档 就 是 
感染 了 宏 病 毒 ; 如果 Word 文档 中 的 模板 包含 了 宏 病毒 ,就 可 以 认为 Word 感染 了 宏 
病毒 。 

所 谓 宏 ,就 是 软件 设计 者 为 了 在 使 用 软件 工作 时 ,避免 一 再 地 重复 相同 的 动作 而 设计 
出 来 的 一 种 工具 。 它 利用 简单 的 语法 ,把 常用 的 动作 写成 宏 , 当 再 工作 时 ,就 可 以 直接 利 
用 事先 写 好 的 宏 自 动 运行 ,去 完成 某 项 特定 的 任务 ,而 不 必 再 重复 相同 的 动作 。Word 中 
把 宏 定 义 为 “ 宏 就 是 能 组 织 到 一 起 作为 一 独立 的 命令 使 用 的 一 系列 Word 命令 , 它 能 使 日 
常 工作 变 得 更 容易 。”Word 宏 就 是 使 用 Word Basic 语言 来 编写 的 。“ 宏 病毒 "就 是 利用 软 
件 所 支持 的 宏 命令 编写 的 具有 复制 ,传染 能 力 的 宏 。 
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2. 宏 病 毒 的 特征 


计算 机 病毒 具有 以 下 特征 。 

(1) 宏 病毒 会 感染 . doc 文档 和 . dot 模板 文件 。 

(2) 宏 病 毒 的 传染 通常 是 Word 在 打开 一 个 带 宏 病 毒 的 文档 或 模板 时 ,激活 宏 病 毒 ， 
病毒 宏 将 自身 复制 到 Word 通用 (Normal) 模 板 中 ,以 后 在 打开 或 关闭 文件 时 宏 病 毒 就 会 
把 病毒 复制 到 该 文件 中 。 

(3) 多 数 宏 病毒 包含 AutoOpen、AutoClose、AutoNew 和 AutoExit 等 自动 宏 , 通 过 
这 些 自动 宏 病 毒 取 得 文档 (模板 ) 操 作 权 。 

(4) 宏 病 毒 中 总 是 含有 对 文档 读 / 写 操作 的 宏 命 令 。 

(5) 宏 病 毒 在 . doc 文档 和 . dot 模板 中 以 BFF (binary file format) 格 式 存放 ,这 是 一 
种 加 密 压缩 格式 ,不 同 Word 版 本 格式 可 能 不 兼容 。 

(6) Word 宏 病毒 在 发 作 时 ,会 使 Word 运行 出 现 怪 现象 ,如 自动 建文 件 . 开 窗口 、 内 
存 总 是 不 够 .关闭 Word 并 不 对 已 修改 文件 提出 未 存盘 警告 .存盘 文件 丢失 等 ,有 的 使 打 
印 机 无 法 正常 打印 。Word 宏 病毒 在 传染 时 ,会 使 原 有 文件 属性 和 类 型 发 生 改 变 , 或 
Word 自动 对 磁盘 进行 操作 等 。 当 内 存 中 有 Word 宏 病 毒 时 , 原 Word 文档 无 法 另存 为 其 
他 格式 的 文件 ,只 能 以 模板 形成 进行 存储 。 


3. 宏 病毒 的 防范 和 清除 


宏 病毒 的 防治 和 清除 方法 如 下 。 

(1) 使 用 选项 “提示 保存 Normal 模板 ”。 
(2) 不 要 通过 Shift 键 来 禁止 运行 自动 宏 。 
(3) 查看 宏 代码 并 删除 。 

(4) 使 用 Disable Auto Macros 宏 。 

(5) 设置 Normal. dot 的 只 读 属 性 。 

(6) Normal. dot 的 密码 保护 。 


732 电子 邮件 病毒 


风靡 全 球 的 “美丽 莎 ”、Papa 和 HAPPY 99 等 计算 机 病毒 正 是 通过 电子 邮件 的 方式 
进行 传播 .扩散 的 ,其 结果 是 导致 邮件 服务 器 瘫痪 ,用户 信息 和 重要 文档 泄密 ,无 法 收发 电 
子 邮 件 ,给 个 人 、 企 业 和 政府 部 门 造成 严重 的 损失 。 为 此 有 必要 介绍 一 下 电子 邮件 病毒 。 

电子 邮件 病毒 实际 上 并 不 是 一 类 单独 的 计算 机 病毒 ,严格 地 说 它 应 该 划 入 文件 型 计 
算 机 病毒 及 宏 病 毒 中 去 ,只 不 过 由 于 这 些 病毒 采用 了 独特 的 电子 邮件 传播 方式 (其 中 不 少 
种 类 还 专门 针对 电子 邮件 的 传播 方式 进行 了 优化 ) ,因此 ,我 们 习惯 于 将 它们 称 为 电子 邮 
件 病毒 。 

所 谓 电 子 邮 件 病毒 ,就 是 以 电子 邮件 作为 传播 途径 的 计算 机 病毒 ,实际 上 该 类 病毒 和 
普通 的 病毒 一 样 ,只 不 过 是 传播 方式 改变 而 已 。 该 类 计算 机 病毒 的 特点 包括 以 下 几 方 面 。 

(1) 电子 邮件 本 身 是 无 毒 的 ,但 它 的 内 容 中 可 以 有 UNIX 下 的 特殊 的 换 码 序列 ,就 是 
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通常 所 说 的 ANSI 字符 , 当 用 UNIX 智能 终端 上 网 查看 电子 邮件 时 ,有 被 侵入 的 可 能 。 

(2) 电子 邮件 可 以 夹带 任何 类 型 的 文件 作为 附件 ,附件 文件 可 能 带 有 病毒 。 

(3) 可 利用 某 些 电子 邮件 收发 器 特有 的 扩充 功能 ,如 Outlook/Outlook Express 能 够 
执行 VBA 指令 编写 的 宏 ,在 电子 邮件 中 夹带 有 针对 性 的 代码 ,利用 电子 邮件 进行 传染 、 
扩散 。 

(4) 超大 的 电子 邮件 或 电子 邮件 炸弹 也 可 以 被 认为 是 一 种 电子 邮件 计算 机 病毒 , 它 
能 够 影响 邮件 服务 器 的 正常 服务 功能 。 

通常 对 付 电 子 邮 件 计算 机 病毒 ,只 要 删除 携带 电子 邮件 病毒 的 信件 就 能 够 删除 它 。 
但 是 大 多 数 的 电子 邮件 计算 机 病毒 一 被 接收 到 客户 端 时 就 开始 发 作 了 ,基本 上 没有 潜伏 
期 。 所 以 预防 电子 邮件 病毒 是 至 关 重 要 的 。 以 下 是 一 些 常用 的 预防 电子 邮件 病毒 的 
方法 。 

(1) 及 时 下 载 安装 操作 系统 的 漏洞 补丁 程序 ,同时 也 要 关注 热门 第 三 方 应 用 软件 的 
漏洞 更 新 。 

(2) 及 时 升级 计算 机 系统 中 防 病毒 软件 和 防火 墙 。 

(3) 不 要 随意 点 击 或 运行 通过 QQ MSN .电子 邮件 发 来 的 陌生 链接 地 址 或 文件 。 

(4) 提高 自己 私密 性 数据 的 安全 ,最 好 经 常 更 换 或 是 设置 比较 复杂 的 账户 密码 。 

对 付 电 子 邮 件 计 算 机 病毒 ,还 可 以 在 计算 机 上 安装 有 电子 邮件 实时 监控 功能 的 防 杀 
计算 机 病毒 软件 。 有 条 件 的 还 可 以 在 电子 邮件 服务 器 上 安装 服务 器 版 电子 邮件 计算 机 病 
毒 防护 软件 ,从 外 部 切断 电子 邮件 计算 机 病毒 的 入侵 途径 ,确保 整个 网 络 的 安全 。 


733 网 络 病毒 实例 
1. 电子 邮件 炸弹 


电子 邮件 炸弹 是 指 发 件 者 以 不 明 来 历 的 电子 邮件 地 址 ,不 断 重复 将 电子 邮件 寄 于 同 
一 个 人 。 由 于 情况 就 像 是 战争 时 利用 某 种 战争 工具 对 同一 个 地 方 进行 大 龙 炸 ,因此 称 为 
电子 邮件 炸弹 。 

电子 邮件 炸弹 之 所 以 可 怕 ,是 因为 它 可 以 大 量 消耗 网 络 资源 。 一 般 网 络 用 户 电 子 邮 
箱 的 容量 都 是 有 限 的 ,如 果 在 短 时 间 内 收 到 上 千 个 电子 邮件 ,而 每 个 电子 邮件 又 占据 了 一 
定 的 容量 ,一 个 电子 邮件 炸弹 的 总 容量 很 容易 就 超过 用 户 的 电子 邮箱 所 能 够 承受 的 负荷 。 
在 这 样 的 情况 下 ,用户 的 电子 邮箱 不 仅 不 能 再 接收 其 他 人 寄 来 的 电子 邮件 ,也 随时 会 因为 
“超载 ”而 导致 整个 计算 机 瘫痪 。 

没有 人 知道 自己 什么 时 候 会 碰 到 电子 邮件 炸弹 ,所 以 采取 防范 措施 是 必要 的 ,比较 有 
效 的 防御 方式 是 ,用 户 可 以 在 电子 邮件 中 安装 一 个 过 滤器 ,在 接收 任何 电子 邮件 之 前 预先 
检查 发 件 人 的 资料 ,如 果 觉 得 有 可 疑 之 处 ,可 以 将 它 删除 ,不 让 它 进 入 电子 邮箱 。 


2. 恶意 网 页 


(1) 恶意 网 页 的 原理 
对 于 恶意 网 页 ,常常 采取 VBScript 和 JavaScript 编程 的 形式 ,由 于 编程 方式 十 分 简 
单 ,所 以 在 网 上 非常 流行 。VBScript 和 JavaScript 是 由 微软 操作 系统 的 WSH (Windows 
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scripting host, Windows 脚本 主机 ) 解 析 并 执行 的 ,由 于 其 编程 非常 简单 ,所 以 此 类 脚本 
病毒 在 网 上 疯狂 传播 ,疯狂 一 时 的 “ 爱 虫 " 病 毒 就 是 一 种 脚本 病毒 ,然后 伪装 成 邮件 附件 诱 
惑 用 户 点 击 运 行 ,更 为 可 怕 的 是 ,这 样 的 病毒 是 以 源 代码 的 形式 出 现 的 ,只 要 懂得 一 点 关 
于 脚本 编程 的 人 就 可 以 修改 其 代码 ,形成 各 种 各 样 的 变种 。 

Set cbjFs= Createcbject 

("Scripting.Filesystem 0bject") (创建 一 个 文件 系统 对 象 ) 

cbjFs.CreateTextFile ("C:\sinple.txt", 1) 

全 过 文件 系统 对 象 的 方法 创建 了 TS 文件 ) 

如 果 我 们 把 这 名 话 保存 为 . vbs 的 VB 脚本 文件 , 单 击 它 就 会 在 C 盘 创 建 一 个 TXT 
文件 。 

倘若 我 们 把 第 三 行 改 为 : objFs. GetFile (Wscript. ScriptFullName) Copy(“C: \ 
simple. vbs”) 就 可 以 将 自身 复制 到 C 盘 simple. vbs 这 个 文件 中 。 本 句 前 面 是 打开 这 个 脚 
本 文件 ,Wscript. ScriptFullName 指明 是 这 个 程序 本 身 , 是 一 个 完整 的 路 径 文件 名 。 
GetFile 函数 获得 这 个 文件 ,Copy 函数 将 这 个 文件 复制 到 C 盘 根 目 录 下 simple. vbs 这 个 
文件 中 。 这 么 简单 的 两 句 代 码 就 实现 了 自我 复制 的 功能 , 它 已 经 具备 病毒 的 基本 特 
征 一 一 自我 复制 能 力 。 

此 类 病毒 往往 是 通过 邮件 传播 的 ,在 VBScript 中 调用 邮件 发 送 功能 也 非常 简单 , 病 
毒 往往 采用 的 方法 是 向 Outlook 的 地 址 簿 中 的 邮件 地 址 发 送 带 有 包含 自身 的 邮件 来 达到 
传播 的 目的 ,此 类 病毒 的 变种 繁多 ,破坏 力 极 大 ,同时 也 是 非常 难以 根除 的 。 

(2) 恶意 网 页 的 预防 

QO@ 禁用 WindowsScriptingHost(WSH)。WSH 运行 各 种 类 型 的 文本 ,但 基本 都 是 
VBScript 或 JavaScript。WSH 在 文本 语言 之 间 充 当 翻 译 的 角色 ,该 语言 可 能 支持 
ActiveXScripting 界面 ,包括 VBScript、JavaScript、Perl 及 所 有 Windows 的 功能 ,包括 访 
问 文件 夹 、 文 件 快捷 方式 .网络 接 入 和 Windows 注册 等 。 许 多 病毒 或 蠕虫 就 是 使 用 
WSH。 具 体 方案 是 : 在 下 窗口 中 选择 “工具 ”>“Internet 选项 "命令 ,在 弹出 的 对 话 框 中 
选择 “安全 "选项 卡 , 再 单 击 “ 自 定义 级 别 " 按 钮 ,就 会 弹出 “安全 设置 "对 话 框 ,把 其 中 所 有 
ActiveX 插件 和 控件 及 与 Java 相关 全 部 选项 选择 “禁用 ”。 但 是 ,这 样 做 在 以 后 的 网 页 浏 
览 过 程 中 有 可 能 会 使 一 些 正常 应 用 ActiveX 的 网 站 无 法 浏览 。 

@ 不 要 轻易 去 点 击 陌生 的 站 点 ,网 站 里 面 有 可 能 就 含有 恶意 代码 。 因 为 这 一 类 网 页 
含有 的 恶意 代码 主要 是 ActiveX 或 Applet、JavaScript 文件 ,所 以 在 IE 设置 中 将 ActiveX 
插件 和 控件 ,Java 脚本 等 全 部 禁止 就 可 以 大 大 减少 被 网 页 恶意 代码 感染 的 几率 。 当 运行 
IE 时 ,选择 “工具 ”一 “Internet 选项 ”命令 ,在 出 现 的 对 话 框 中 选择 “安全 ”选项 卡 , 在 
“Internet 区 域 的 安全 级 别 ? 中 把 安全 级 别 由 “中 ? 改 为 “高 ”。 

@ 不 随意 查看 陌生 邮件 ,尤其 是 带 有 附件 的 邮件 。 因 为 Windows 允许 文件 名 使 用 
多 个 后 缀 ,而 电子 邮件 一 般 只 显示 第 一 个 后 级 ,如 .jpg, 该 文件 可 能 是 . jpg. vbs, 打 开 这 个 
文件 可 能 意味 着 运行 一 个 恶意 的 VBScript 病毒 ,而 不 是 . jpg 文件 。 病 毒 邮件 能 够 利用 
IE 和 Outlook 的 漏洞 自动 执行 ,所 以 计算 机 用 户 需要 升级 IE 和 Outlook 程序 及 常用 的 
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其 他 应 用 程序 。 
@ 安装 防 病毒 产品 并 保证 更 新 最 新 的 病毒 特征 码 。 首 次 安装 病毒 软件 时 ,一 定 要 对 
机 器 做 一 次 彻底 扫描 ,以 确保 它 未 受到 过 病毒 的 感染 ,用 户 应 当 及 时 更 新 病毒 库 。 
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案例 分 析 


1. 病毒 描述 

Worm. Win32. Fujack. x 为 蠕虫 类 病毒 ,病毒 运行 后 复制 自身 到 系统 目录 ,衍生 病毒 
文件 ,修改 注 册 表 、 添 加 启动 项 ,以 达到 随机 启动 的 目的 ,并 删除 安全 相关 服务 ,减弱 系统 
安全 性 。 该 病毒 具有 多 种 启动 方式 ,而 且 具 有 修改 注册 表 隐 藏 自身 的 功能 。 所 以 此 病毒 
用 常规 方法 很 难 清除 ,生存 期 会 相对 较 长 。 该 病毒 对 用 户 的 计算 机 信息 具有 严重 的 威胁 。 

2. 行为 分 析 

(1) 文件 运行 后 会 衍生 以 下 文件 。 


%DriveIettergNautorun.inf 
%DriveLetterg\setup.exe 
%WinDirsNSchedLaU.Txt 
%Systen32% \drivers\ spoclss.exe 
%WinDir$%\Tasks\ SA.DAT 


(2) 新 建 注册 表 如 下 。 

[HKEY_CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run] 

注册 表 值 : "svcshare" 。 

类 型 : REG_SZ。 

值 : "C: \WINDOWS\system32\drivers\spoclss. exe"。 

描述 : 添加 启动 项 ,以 达到 随机 启动 的 目的 。 

(3) 修改 注册 表 如 下 。 

[HEEY_IOCAL MACHINE\ SOFTWARE\ Microsoft \ Windows\ OurrentVersion\ Explorer\ Pdvanoed\ Folder\ Hidden\ 
新 : DWORD: 0 (0)。 

旧 : DWORD: 1 (0xl)。 

描述 : 使 隐藏 文件 不 可 见 。 

(4) 删除 安全 相关 服务 。 

服务 名 称 : wscsvc。 

显示 名 称 : Security Center。 

描述 语言 : 监视 系统 安全 设置 和 配置 。 

文件 路 径 : SystemRoot%\System32\svchost. exe -k netsvcs。 
启动 方式 : 自动 。 
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(5) 在 各 个 驱动 器 盘 符 下 释放 启动 文件 autorun. inf 和 与 其 对 应 的 执行 文件 setup. 
exe,autorun. inf 的 内 容 如 下 。 


[AutoRun] 

OFFN= setup.exe 

shellexecute= setup.exe 

shell\Aito\ ommand setup.exe 

(6) 将 自身 添加 到 Tasks 文件 夹 下 的 计划 任务 中 ,任务 计划 的 相关 信息 在 
SchedLgU. Txt 内 记录 。 


操作 环境 


(1) 连 上 Internet 的 主机 或 局 域 网 主机 。 
(2) Windows Server 2003、Windows XP 系统 。 


操作 步 又 


第 1 步 使 用 最 新 杀毒 软件 或 木马 专 杀 软件 可 彻底 清除 此 病毒 。 
第 2 步 手工 清除 请 按照 行为 分 析 删 除 对 应 文件 ,恢复 相关 系统 的 设置 。 
(1) 在 “进程 管理 ”中 关闭 病毒 进程 。 

(2) 强行 删除 下 面 病毒 文件 。 

%DriveLetters$ \autorun.inf 

%DriveIetterg\setup.exe 

SWinDirs\ SchedLgy.Txt 

%Systenm32% \drivers\ spoclss.exe 

%WinDir%\Tasks\ SA.DAT 

(3) 恢复 病毒 修改 的 注册 表 项 目 , 删 除 病毒 添加 的 注册 表 项 。 

@〗 删除 新 建 注册 表 。 

[HKEY_CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Rn] 

注册 表 值 为 "svcshare” ,类 型 为 “REG_SZ”。 

值 : " C: \WINDOWS\system32\drivers\spoclss. exe" 。 

描述 : 添加 启动 项 ,以 达到 随机 启动 的 目的 。 

@ 恢复 修改 注册 表 。 

[HEEY_IOCAL MACHINE\ SOFTWARE\ Microsoft \ Windows \ CurrentVersion\ Explorer\ Acvanoced\ Folder\ Hidden\ 
SHONRLINCheckedValue] 

新 : DWORD: 0 (0)。 

旧 : DWORD: 1 (0xl) 。 

描述 : 使 隐藏 文件 不 可 见 。 
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7.4 常用 的 杀毒 软件 


随 着 世界 范围 内 计算 机 病毒 的 大 量 流行 ,新 的 病毒 不 断 出 现 , 各 种 反 病毒 软件 产品 也 
在 不 断 地 推陈出新 、 更 新 换代 。 这 些 产品 的 特点 表现 为 技术 领先 \ 误 报 率 低 、 杀 毒 效果 明 
显 、 界 面 友 好 .具有 良好 的 升级 和 售后 服务 技术 支持 ,与 各 种 软 /硬件 平台 兼容 性 好 等 方 
面 。 国 内 常用 的 反 病 毒 软件 有 瑞星 杀毒 软件 2012、 金 山 杀 毒 软 件 .诺顿 2012、360 杀毒 软 
件 等 。 


741 瑞星 杀毒 软件 


瑞星 杀毒 软件 2012 是 北京 瑞星 科技 股份 有 限 公 司 采 用 最 新 技术 开发 的 新 一 代 信 息 
安全 产品 。 

瑞星 杀毒 软件 2012 以 瑞星 最 新 研发 的 变频 杀毒 引擎 为 核心 ,通过 变频 技术 使 计算 机 
得 到 安全 保证 的 同时 ,又 大 大 降低 资源 占用 ,让 计算 机 更 加 轻便 。 同 时 ,瑞星 2012 版 应 用 
“瑞星 云 安 全 十 ”技术 、“ 云 查 杀 ”“ 网 购 保护 ”“ 智 能、 安全 上 网 ”和 智能 反 钓鱼 等 技术 , 保 
护 网 购 、 网 游 . 微 博 、 办 公 等 常见 应 用 面临 的 各 种 安全 问题 ,通过 友善 易 用 的 界面 和 更 小 的 
资源 占用 为 用 户 提 供 全 新 安全 软件 体验 。 

瑞星 杀毒 软件 2012 的 具体 功能 如 下 。 

(1) 瑞星 变频 杀毒 技术 。 智 能 检测 计算 机 资源 占用 ,自动 分 配 杀 毒 时 占用 的 系统 资 
源 , 既 保障 计算 机 的 正常 使 用 ,又 保证 计算 机 的 安全 。 

(2) 瑞星 * 云 查 杀 ”。 大 大 降低 用 户 计算 机 资源 的 占用 ,杀毒 速度 快速 提升 ,无 须 升 级 
即 可 查 杀 最 新 病毒 。 

(3) 网 购 保护 。 在 用 户 进行 网 上 购物 、 支 付 , 访 问 网 银 等 操作 时 自动 进行 保护 ,防止 
黑客 .木马 病毒 等 问题 对 用 户 网 上 银行 财产 产生 威胁 ,确保 网 购 安 全 。 

(4) 智能 、 安 全 上 网 。 通 过 “智能 反 钓鱼 ”、“ 安 全 搜索 "“ 木 马 下 载 拦 截 "“ 家 长 控 
制 "“ADSL 带宽 管家 ”等 大 量 新 增 功能 ,保证 用 户 安全 上 网 、 绿 色 上 网 ,智能 上 网 。 

(5) 体积 小 、 资 源 小 、 高 效 升级 。 安 装 包 体 积 小 、 杀 毒 速度 快速 提升 ,对 系统 影响 小 ， 
升级 时 只 下 载 几 千 字 节 的 文件 , 减 小 带宽 占用 。 


< 和 【 业 例 】 使 用 瑞星 杀毒 软件 对 计算 机 病毒 进行 检测 与 防范 


案例 分 析 


杀毒 软件 通常 集成 监控 识别 、 病 毒 扫 描 和 清除 和 自动 升级 等 功能 ,是 计算 机 防御 系统 
(包含 杀毒 软件 、 防 火 墙 、 特洛伊 木马 和 其 他 恶意 软件 的 查 杀 程序 ,入侵 预防 系统 等 ) 的 重 
要 组 成 部 分 。 
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操作 环境 


(1) 连 上 Internet 的 Windows Server 2003、Windows XP 系统 主机 一 台 。 
(2) 瑞星 杀毒 软件 2012。 


操作 步 又 


第 1 步 安装 瑞星 杀毒 软件 (个 人 版 )。 

第 2 步 了 解 瑞星 杀毒 软件 的 操作 界面 。 

如 图 7.1 所 示 , 从 瑞星 杀毒 软件 界面 的 菜单 栏 中 可 以 看 到 杀毒 .电脑 防护 、 瑞 星 工 具 
和 安全 资讯 4 个 选项 卡 。 其 中 “杀毒 ”选项 卡 中 包含 有 快速 查 杀 、 全 盘查 杀 、 自 定义 查 杀 ; 
“电脑 防护 ”选项 卡 主要 是 对 文件 监控 ,包括 邮件 监控 \U 盘 防 护 、 木 马 防御 、 浏 览 器 保护 、 
办 公 软 件 保 护 、 系 统 内 核 加 固 ;“ 瑞 星 工具 ”选项 卡 包 括 卡 卡 上 网 安全 助手 、 瑞 星 助 手 、 引 导 
区 还 原 、 瑞 星 安装 包 制作 、 账 号 保险 柜 \ 病 毒 库 U 盘 备 份 、Linux 引导 盘 制作 等 子 菜单 栏 ; 
“安全 资讯 ?选项 卡 提供 最 新 资讯 。 


瑞星 杀 盏 软件 


[+ 


和 外 


快速 查 杀 全 盘查 杀 自 定义 查 杀 


~ 今日 已 查 杀 病毒 : 1 个 ， 黑 计 查 杀 靖 毒 : 1 个 
4 电脑 防护 累计 眼目 入侵 攻击 : 3 次 
坦 痢 日 过 《 上 一 次 扫 姑 时 间 : 未 反手 7 


息 be 文件 守卫 富 


安全 小 提示 : 经 党 执行 快速 查 关 可 以 有 效 防止 您 的 电脑 该 病毒 侵害 。 


饥 在 贱 服 务 〈 服务 电话 : 40 
图 7.1 瑞星 杀毒 软件 操作 界面 


第 3 步 使 用 瑞星 杀毒 软件 。 

(1) 设置 。 先 单 击 “ 设 置 "按钮 ,进入 “设置 ?界面 ,从 中 可 以 对 查 杀 的 方式 和 级 别 进行 
设置 ,如 图 7.2 所 示 。 

(2) 查 毒 、 清 除 杀 毒 软 件 发 现 的 病毒 。 进 入 “杀毒 ”选项 卡 ,搜索 系统 中 是 否 存 在 病 
毒 , 若 发 现 ,就 清除 掉 , 如 图 7.3 所 示 。 

第 4 步 文件 监控 。 

在 “电脑 防护 ”选项 卡 可 对 要 防护 和 监控 的 对 象 进 行 设置 ,以 实现 对 计算 机 文件 的 监 
控 , 如 图 7.4 所 示 。 


新 技术 ， 结 合 坟 星 狂 有 | 
人 因 生 0 呈 


站 查 订 ， 
快速 查 东 引擎 妇 别 : 中 
全 盘查 亲 
和 
全 盆 查 杀 引 擎 研 别 : 中 
自 定义 查 杀 
自主 设置 病毒 查 杀 苍 围 , 支持 右键 查 杀 和 " 熏 查 杀 , 


自 定义 查 杀 引擎 她 别 : 中 


图 7.2 “设置 "界面 


< 时 ¥ 
Eo—) y 
快速 查 杀 全 盘查 杀 自 定义 查 杀 
到 今日 已 查 杀 病 玄 : 1 个 , 时 计 查 杀 病 刻 : 1 个 


A 电脑 防护 累计 阻止 和 侵 政 击 : 3 次 
查看 日 去 《上 一 次 扫 纺 时 间 : 未 扫 朱 ) 


和 经常 执行 快速 查 杀 可 以 有 效 防止 您 的 电脑 访 病 可 侵害 。 


图 7.3 “杀毒 "选项 卡 


文 首 攻 蓉 状态 : 开启 
当 悠 打开 廊 件 时 ， 格 自动 礁 获 和 查 亲 木马、 后 
ee. 
加 部 件 监控 状态 : 开局 
国 二 防护 状 大: 开局 
® 森马 防 币 状态 : 开局 
@ MiB 状态 : 开局 
[Sd 状态: 开 B 
系统 内 核 加 固 状态 : 开局 


图 7.4 “电脑 防护 ”选项 卡 
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第 5 步 升级 瑞星 杀毒 软件 。 
在 瑞星 杀毒 软件 的 主 界面 中 , 单 击 “ 软 件 升级 "按钮 ,可 以 将 瑞星 杀毒 软件 升级 到 最 新 
版 ,如 图 7.5 所 示 。 


名 智能 升级 正在 进行 .. 。 
获 职 最 新 版 本 
下 载 组 件 RsPeYerl1. xm] 文 件 (KAI 


璃 星 智 能 升级 


图 7.5 软件 升级 


742 金山 杀毒 软件 


金山 公司 是 国内 著名 的 软件 公司 ,其 开发 的 金山 毒霸 对 查 毒 速度 进行 了 优化 ,可 以 快 
速 、 彻 底 地 查 杀 多 种 流行 病毒 。 

金山 毒霸 2012 极速 轻巧 ,安装 包 不 到 20MB, 内 存 占用 只 有 19MB, 首 次 扫描 仅 4 分 
钟 ,3 分 钟 消 灭 活 木马 , 扫描 速度 每 秒 可 达 134 个 文件 。 配 合 中 国 互联 网 最 大 云 安 全 体 
系 ,100% 鉴 定 文件 是 病毒 还 是 正常 文件 。 强 大 的 自动 分 析 鉴 定 体系 可 在 60 秒 钟 内 鉴定 
Internet 上 95% 的 未 知 文件 ,应 用 精确 样本 收集 技术 更 使 文件 鉴定 准确 率 达 到 了 99% 
以 上 。 

金山 毒霸 2012 技术 亮点 如 下 。 

(1) 可 信 云 查 杀 。 增 强 Internet 可 信 认 证 ,海量 样本 自动 分 析 鉴 定 , 极 速 快速 匹配 
查询 。 

(2) 蓝 蕊 卫 云 引擎 (BlueChip [CLOUD)。 微 特征 识别 (启发 式 查 杀 2. 0) ,将 新 病毒 
扼杀 于 摇篮 中 ,针对 类 型 病毒 具有 不 同 的 算法 ,减少 资源 占用 ,多 模式 快速 扫描 匹配 技术 ， 
超 快 样本 匹配 。 

(3) 白 名 单 优先 技术 。 准 确 标记 用 户 计算 机 所 有 安全 文件 ,无 须 逐 一 比 对 病毒 库 , 大 
大 提高 效率 , 双 库 双 引 擎 , 首 家 在 杀毒 软件 中 内 置 安全 文件 库 ,与 可 信 云 安全 紧密 结合 , 安 
全 少 误杀 。 

(4) 个 性 功能 体验 。 下 载 保 护 、 聊 天 软件 保护 、U 盘 病 毒 免 疫 防 御 文件 粉碎 机 、 自 定 
义 安 全 区 ,提升 性 能 、 可 定制 的 免 打扰 模式 、 自 动 调节 资源 占用 、 针 对 笔记 本 电源 优化 使 续 
航 更 久 。 


743 诺顿 杀毒 软件 


诺顿 反 病 毒 产品 包括 诺顿 网 络 安全 特警 (Norton Internet Security) .诺顿 反 病 毒 
(Norton Antivirus) ,诺顿 360(Norton ALL-IN-ONE Security) ,诺顿 计算 机 大 师 (Norton 
SystemWorks) 等 产品 。 还 有 一 种 专 供 企业 使 用 的 版 本 被 称 为 Symantec Endpoint 


了 Protection 。 
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1. 诺顿 杀毒 产品 的 优势 


(1) 严密 防范 黑客 ,病毒 ,木马 ,间谍 软件 和 蠕虫 等 攻击 。 

(2) 动态 仿真 反 病 毒 专家 系统 分 析 识 别 出 未 知 病毒 后 ,能 够 自动 提取 该 病毒 的 特征 
值 ,自动 升级 本 地 病毒 特征 值 库 , 实 现 对 未 知 病毒 捕获 分析、 升级 的 智能 化 。 

(3) 驱动 级 安全 保护 机 制 ,避免 自身 被 病毒 破坏 而 丧失 对 计算 机 系统 的 保护 作用 。 

(4) 即使 在 Windows 系统 漏洞 未 进行 修复 的 情况 下 ,依然 能 够 有 效 检测 到 黑客 利用 
漏洞 进行 的 洪 出 攻击 和 和 人 侵 ,实时 保护 计算 机 的 安全 。 避 免 因 为 用 户 因 不 便 安 装 系 统 补 
丁 而 带 来 的 安全 隐患 。 

(5) 拦截 远程 攻击 时 ,同步 准确 记录 远程 计算 机 的 IP 地 址 ,协助 用 户 迅 速 、 确 定 攻击 
源 , 并 能 够 提供 攻击 计算 机 准确 的 地 理 位 置 , 实 现 攻击 源 的 全 球 定位 。 


2. 诺顿 2012 版 新 特性 


新 版 安全 软件 新 增 诺顿 360 年 初 首次 添加 的 启动 管理 器 ,并 改进 了 Sonar 主动 防护 
技术 。 

Chrome 浏览 器 支持 是 诺顿 用 户 一 直 所 期 待 的 功能 ,Norton Safe Web( 诺 顿 网 页 安全 
检测 ) 工 具 栏 现在 可 以 为 Chrome 用 户 提供 搜索 结果 评估 ,链接 扫描 和 用 户 身 份 认 证 等 
功能 。 

诺顿 2012 测试 版 对 病毒 扫描 引擎 进行 了 两 处 改进 ,但 用 户 界 面 模块 变化 很 小 。 
Insight 3.0( 智 能 扫描 ) 及 其 组 件 Download Insight 2. 0( 下 载 智 能 分 析 ) 都 得 以 改进 。 
Download Insight 功能 可 以 监测 下 载 文 件 ,以 保证 文件 安全 性 和 稳定 性 。 尽 管 Download 
Insight 还 是 无 法 阻止 用 户 下 载 已 知 威胁 文件 ,但 它 会 提供 一 个 停止 下 载 选 项 。 

Download Insight 是 一 项 精心 设计 的 功能 , 它 还 针对 不 同 的 系统 进行 了 设计 。 如 果 
一 个 文件 在 Windows 7 环境 下 安全 但 在 Windows XP 环境 下 不 安全 ,只 有 Windows XP 
用 户 会 看 到 停止 下 载 提示 。 

同时 ,Sonar 4. 0 还 升级 了 行为 防护 功能 ,监测 可 疑 程序 的 运行 ,并 且 可 在 适当 的 时 候 
停止 程序 运行 。 另 外 ,Sonar 现在 还 可 以 逐个 评定 DLL 文件 ,以 方便 详细 地 监测 。 

当然 ,诺顿 2012 测试 版 也 对 界面 进行 了 细微 的 改变 ,在 传统 的 黄 黑 界面 添加 了 亮 绿 
色 。 诺 顿 在 线 存储 服务 也 有 一 些 改进 ,如 整合 了 云 同步 功能 。 诺 顿 启动 恢复 工具 还 新 增 
了 Norton Power Eraser( 诺 顿 恶意 软件 清理 工具 ) ,用 户 无 须 分 别 安装 这 些 工 具 。 


本 章 小 结 


计算 机 病毒 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 数据 .影响 计算 机 使 
用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ,具有 传染 性 、 潜 伏 性 、 触 发 性 和 破 
坏 性 。 计 算 机 病毒 可 归纳 为 引导 型 病毒 、 可 执行 病毒 、 宏 病毒 、 混 合 型 病毒 ,特洛伊 木马 病 
毒 和 网 页 病毒 6 种 类 型 。 

计算 机 网 络 病毒 具有 高 频 度 \ 传 播 速 度 快 .危害 面 广 、 制 作 技 术 新 、 形 式 多 样 化 和 病毒 
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生成 工具 比较 易 得 等 特点 。 
最 后 简单 介绍 了 网 络 病毒 的 检测 、 防 范 和 清 杀 方法 及 常用 反 病毒 软件 ,如 瑞星 杀毒 软 
件 2012 金山 毒霸 2012 和 诺顿 2012。 


本 章 练 习 


一 、 填空 题 


1. 计算 机 病毒 的 特征 包括 Ss 

2. 计算 机 病毒 可 分 为 、 x 和 
6 种 类 型 。 

3. 按照 计算 机 病毒 的 传播 媒介 来 分 类 ,可 分 为 病毒 和 病毒 。 

4. 网 络 反 病 毒 技 术 主要 有 3 种 ,它们 是 预防 病毒 技术 、 病毒 技术 和 清除 病 
毒 技术 。 

5. 电子 邮件 炸弹 是 


-、 选 择 题 


1. 计算 机 病毒 是 

A. 一 种 程序 B. 传染 病 病毒 

C. 一 种 计算 机 硬件 D. 计算 机 系统 软件 
2. 下 列 不 属于 计算 机 病毒 特性 的 是 

A. 传染 性 B. 突 发 性 C. 可 预见 性 D. 隐藏 性 
3. 计算 机 病毒 5 

A. 都 具有 破坏 性 B. 有些 无 破坏 性 

C. 都 破坏 . exe 文件 D. 不 破坏 数据 ,只 破坏 文件 
4. 计算 机 病毒 

A. 是 生产 计算 机 硬件 时 不 注意 产生 的 B. 都 是 人 为 制造 的 

C. 都 必须 清除 计算 机 才能 使 用 D. 有 可 能 是 人 们 无 意 中 制 造 的 
5. 计算 机 病毒 

A. 破坏 都 是 巨大 的 B. 都 具有 可 知性 

C. 只 破坏 计算 机 软件 D. 是 可 预防 的 


三 、 简 答题 


. 什么 是 计算 机 病毒 ? 

. 计算 机 病毒 的 基本 特征 是 什么 ? 

. 计算 机 病毒 可 以 分 为 哪 几 类 ? 

. 简 述 网 络 病毒 的 清除 方法 。 

. 计算 机 网 络 病毒 的 预防 有 哪 几 个 方面 ? 
. 简 述 计算 机 网 络 病毒 的 防治 措施 。 


-| 
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实 训 ”U 盘 病 毒 的 工作 原理 及 清除 方法 


实 训 目的 


(1) 了 解 U 盘 病 毒 的 工作 原理 。 
(2) 掌握 U 盘 病 毒 的 清除 方法 


实 训 环 境 
Windows 操作 系统 ,U 盘 , 计 算 机 内 已 安装 的 其 他 程序 。 
实 训 原 理 


一 些 病毒 程序 独立 存放 在 移动 存储 设备 中 ,并 建立 移动 盘 自 动 启用 文件 , 当 使 用 者 打 
开 移 动 存储 设备 时 ,自动 启用 文件 引导 病毒 程序 。 

自动 启用 文件 是 微软 公司 为 了 方便 用 户 启动 程序 而 设置 的 一 种 名 为 autorun. inf 的 
文本 文件 ,位 于 移动 盘 的 根 目录 ,以 纯 文 本 的 方式 存放 各 种 控制 命令 ,用 户 双击 盘 符 打开 
盘 时 就 会 自动 打开 并 执行 里 面 的 命令 。 

如 果 自 动 启动 文件 被 病毒 所 利用 , 当 用 户 双击 打开 移动 盘 时 就 会 自动 启动 病毒 程序 。 


实 训 步 又 


第 1 步 ” 使 用 记事 本 或 其 他 文本 编辑 软件 在 U 盘 中 建立 名 为 autorun. inf 的 文本 
交 各 

文件 内 容 如 下 。 

[autorm] 这 是 自动 启动 文件 固定 格式 . 

Shellexecute= c:\windows\systenB2\calc.exe; 也 可 以 是 其 他 可 执行 程序 或 文档 ;下 面 内 容 不 是 必需 

的 ,是 病毒 采取 的 隐藏 或 迷惑 用 户 的 常用 手法 . 

icon= calc.exe 更 改 移动 盘 图 标 为 计算 器 . 

Iabel 计算 器 ,更 改 移动 盘 图 标 为 计算 器 . 

Shell\ 计 算 器 \Command- c:\windows\systen32\calc.exe; 在 快捷 菜单 中 添加 计算 器 命令 . 

第 2 步 将 上 述 文本 文件 以 autorun. inf 为 文件 名 保存 到 U 盘 根 目录 。 

第 3 步 重新 插入 U 盘 。 

第 4 步 计算 器 自动 启动 。 

第 5 步 U 盘 病 毒 的 清除 方法 。 

方法 1: 删除 autorun. inf 文件 。 

方法 2: 格式 化 U 盘 。 


知识 目标 

。 了 解 黑客 的 概念 、 黑 客 的 攻击 目的 。 

。 了 解 黑客 常用 的 攻击 方法 。 

。 了 解 黑客 常用 攻击 工具 , 面 对 攻 击 知道 如 何 防范 。 
技能 目标 

。 掌握 常见 “木马 "攻击 与 防范 方法 。 

。 掌握 黑客 常用 攻击 工具 及 攻击 的 防范 应 用 。 

。 能 对 网 络 服务 器 进行 安全 配置 。 


黑客 是 指示 经 许可 , 问 入 他 人 计算 机 系统 的 任何 人 。 了 解 黑 客 的 行为 及 攻击 的 方法 ， 
可 以 使 我 们 加 强 网 络 安全 的 意识 。 黑 客 技术 的 发 展 ,使 网 络 安全 成 为 网 络 设计 与 维护 的 
重要 内 容 , 同 时 也 促进 了 防范 技术 的 发 展 。 


8.1 黑客 的 定义 


在 网 络 世界 里 ,可 以 把 黑客 定义 为 那些 利用 计算 机 技术 及 其 他 手段 ,恶意 或 善意 地 进 
入 非 授 权 范围 内 的 计算 机 或 网 络 空 间 的 人 。 
目前 ,黑客 的 特征 主要 表现 在 以 下 几 个 方面 。 


1. 黑客 群体 扩大 化 


越 来 越 多 的 人 尤其 是 年 轻 人 热衷 于 黑客 技术 。 由 于 计算 机 和 网 络 技术 的 普及 ,一 大 
批 没有 受过 系统 计算 机 和 网 络 技术 教育 的 黑客 人 才 涌 现 出 来 。 黑 客 群 体 中 的 绝 大 多 数 人 
是 由 好 奇 心 驱使 的 ,这 类 黑客 掌握 较 少 的 技术 ,使 用 现成 的 工具 ,攻击 不 设防 的 系统 。 少 
部 分 的 黑客 自己 编写 工具 进行 攻击 ,这 部 分 黑客 掌握 着 较 好 的 技术 ,能 够 进入 有 所 防备 的 
系统 ,但 是 在 一 般 情况 下 .他 们 有 自己 的 道德 观念 和 伦理 文化 ,基本 上 不 会 有 意 破坏 他 人 
的 系统 和 数据 。 还 有 极 少 数 被 称 为 间谍 的 黑客 ,这 类 黑客 是 执著 的 进攻 者 ,他 们 或 因 经 济 
利益 的 关系 ,或 因 政治 的 原因 ,利用 所 掌握 的 技术 或 工具 干扰 被 攻击 系统 的 正常 工作 。 


了 
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2. 黑客 的 组 织 化 和 集团 化 


目前 ,以 前 的 那 种 以 个 人 行为 为 主 的 黑客 越 来 越 少 ,被 取而代之 的 是 大 批 黑 客 组 织 。 
黑客 组 织 化 和 集团 化 的 优势 是 利用 成 员 各 自 的 不 同 特长 进行 合作 攻击 ,从 而 提高 攻击 的 
成 功率 。 


3. 黑客 行为 的 商业 化 


大 多 数 黑 客 把 技术 当成 谋生 的 手段 。 这 些 人 一 般 在 与 网 络 技术 相关 的 公司 里 工作 ， 
依靠 自己 高 超 的 计算 机 和 网 络 技术 来 设计 、 研 制 和 管理 安全 产品 。 


4. 黑客 行为 的 政治 化 


由 于 网 络 在 人 们 的 生产 生活 ,尤其 是 国家 军事 安全 中 占有 越 来 越 重 要 的 地 位 ,致使 网 
络 完全 可 能 会 直接 影响 到 国家 安全 。 因 此 ,各 国政 府 都 在 准备 迎接 未 来 信息 战争 的 挑战 。 
相当 多 的 黑客 被 政府 部 门 雇用 ,去 从 事 国家 网 络 安全 与 攻击 的 研究 。 


8.2 黑客 攻击 的 目的 和 步骤 


1. 黑客 攻击 的 目的 


一 般 情况 下 ,黑客 的 攻击 总 有 明确 的 目的 性 。 由 于 黑客 成 长 的 经 历 和 生活 环境 不 同 ， 
其 攻击 目标 也 会 多 种 多 样 ,但 大 致 上 可 以 归纳 总 结 如 下 。 

(1) 窃取 信息 

黑客 攻击 最 直接 的 目标 就 是 窃取 信息 。 黑 客 选取 的 攻击 目标 往往 是 许多 重要 的 信息 
和 数据 ,在 获得 这 些 信 息 与 数据 之 后 ,黑客 就 可 以 进行 各 种 犯罪 活动 。 政 府 、 军 事 、 邮 电 和 
金融 网 络 是 黑客 攻击 的 首选 目标 。 随 着 计算 机 与 网 络 技术 在 政府 ,军事 ,金融 、 医 疗 、 交 通 
及 电子 等 各 个 领域 的 广泛 应 用 ,黑客 的 各 种 破坏 活动 也 随 之 独 狐 。 

窃取 信息 包括 破坏 信息 的 保密 性 和 完整 性 。 破 坏 信息 的 保密 性 是 指 黑客 将 窃取 到 的 
需要 保密 的 信息 发 往 公 开 的 站 点 。 而 破坏 信息 的 完整 性 是 指 黑客 对 重要 文件 进行 修改 、 
更 换 和 删除 ,使 原来 的 信息 发 生 了 变化 ,以 至 于 不 真实 或 者 错误 的 信息 给 用 户 带 来 难以 估 
量 的 损失 。 

事实 上 ,获取 口令 也 是 窃取 信息 的 一 种 。 由 于 口令 的 特殊 性 ,所 以 将 其 单独 列 出 。 黑 
客 通过 登录 目标 主机 ,或 使 用 网 络 监听 程序 进行 攻击 。 监 听 到 口令 后 ,就 可 以 顺利 地 登录 
到 其 他 主机 ,或 者 去 访问 一 些 本 来 无 权 访 问 的 资源 。 

(2) 控制 中 间 站 点 

在 某 些 情况 下 ,黑客 登 上 目标 主机 后 ,不 是 为 了 窃取 信息 ,只 是 运行 一 些 程序 ,这 些 程 
序 可 能 是 无 害 的 ,仅仅 消耗 一 些 系统 的 处 理 时 间 。 比 如 ,黑客 为 了 攻击 一 台 主 机 ,需要 一 
个 中 间 站 点 ,以 免 暴露 自己 的 真实 所 在 。 这 样 即便 被 发 现 , 也 只 能 找到 中 间 站 点 的 地 址 ， 
而 真正 的 攻击 者 可 以 隐藏 起 来 。 再 比如 ,黑客 不 能 直接 访问 某 一 严格 受 控制 的 站 点 或 网 
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络 ,此 时 就 需要 一 个 具有 访问 权限 的 中 间 站 点 ,所 以 这 个 中 间 站 点 就 成 了 首先 要 攻击 的 
目标 。 

(3) 获得 超级 用 户 权 限 

黑客 在 攻击 某 一 个 系统 时 ,都 企图 得 到 超级 用 户 权 限 ,这 样 就 可 以 完全 隐藏 自己 的 行 
踪 , 并 可 在 系统 中 埋伏 下 方便 的 后 门 ,便于 修改 资源 配置 ,做 任何 只 有 超级 用 户 才 能 做 的 
事情 。 


2. 黑客 攻击 的 3 个 阶段 


(1) 确定 目标 

黑客 进行 攻击 ,首先 要 确定 攻击 目标 。 比 如 , 某 个 具有 特殊 意义 的 站 点 、 某 个 恶意 的 
ISP、 具 有 敌对 观点 的 宣传 站 点 或 解雇 了 黑客 的 单位 的 主页 等 。 

(2) 搜集 与 攻击 目标 相关 的 信息 ,并 找 出 系统 的 安全 漏洞 

信息 收集 的 目的 是 为 了 进入 所 要 攻击 的 目标 网 络 的 数据 库 。 黑 客 会 利用 下 列 公开 的 
协议 或 工具 ,收集 驻 留 在 网 络 系统 中 的 各 个 主机 系统 的 相关 信息 。 

@D SNMP 协议 ,用 于 查阅 网 络 系统 路 由 器 的 路 由 表 , 从 而 了 解 目标 主机 所 在 网 络 的 
拓扑 结构 及 其 内 部 细节 。 

@ Trace Route 程序 ,用 于 获得 到 达 目 标 主机 所 要 经 过 的 网 络 数 和 路 由 器 数 。 

@ Whois 协议 ,利用 该 协议 的 服务 信息 可 获得 所 有 有 关 DNS 域 和 相关 的 管理 参数 。 

@ DNS 服务 器 ,提供 了 系统 中 可 以 访问 的 主机 的 IP 地 址 表 和 它们 所 对 应 的 主机 名 。 

@ Finger 协议 ,用 于 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 (如 用 户 注 册 名 、 注 
册 时 间 及 他 们 是 否 读 邮 件 等 )。 

@ Ping 实用 程序 ,用 于 确定 一 个 指定 的 主机 的 位 置 。 

Q@ 自 编程 序 , 如 果 某 些 产品 或 者 系统 ,已 经 发 现 了 一 些 安 全 漏洞 ,该 产品 或 系统 的 厂 
商 或 组 织 会 提供 一 些 “ 补 丁 "程序 来 弥补 ,但 是 车 用 户 没有 及 时 打上 “补丁 ”, 黑 客 会 利用 这 
些 漏 洞 来 自己 编写 程序 进入 目标 系统 。 

@ 利用 公开 的 工具 ,如 ISS(Internet security scanner)、SATAN (security analysis 
tool auditing network) 等 ,这 样 的 工具 可 以 对 整个 网 络 或 子 网 进行 扫描 ,寻找 安全 漏洞 。 
这 样 的 工具 既 可 被 网 络 安全 管理 员 用 来 作为 检测 网 络 安全 性 的 有 力 武器 ,也 可 以 被 黑客 
用 来 作为 扫描 网 络 漏洞 的 黑客 工具 。 

(3) 实施 攻击 

黑客 在 搜集 到 相关 信息 之 后 ,就 可 能 对 目标 系统 实施 攻击 。 黑 客 一 旦 获得 了 对 攻击 
目标 系统 的 访问 权 后 ,可 有 以 下 多 种 选择 。 

@ 可 能 试图 毁 掉 攻击 人 侵 的 痕迹 ,并 在 系统 中 建立 另外 的 新 的 安全 漏洞 和 后 门 ,以 
使 先前 的 攻击 点 被 发 现 后 ,继续 访问 系统 。 

@ 可 能 在 目标 系统 中 安装 探测 器 软件 ,包括 特洛伊 木马 程序 ,用 来 窥探 所 在 系统 的 
活动 ,收集 黑客 感 兴趣 的 一 切 信息 。 

@ 可 能 进一步 发 现 受 损 系统 在 网 络 中 的 信任 等 级 ,然后 进一步 通过 该 中 间 系 统 展开 
对 整个 系统 的 攻击 。 
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@ 若 黑 客 在 受 损 系统 上 获得 了 特许 访问 权 , 就 可 以 读 取 邮 件 、 搜 索 和 盗窃 私人 文件 
及 毁坏 重要 数据 ,从 而 破坏 整个 系统 的 信息 ,造成 不 堪 设 想 的 后 果 。 

@ 黑客 在 攻击 得 手 后 ,往往 会 继续 在 系统 中 寻找 相关 主机 的 可 用 信息 ,从 而 攻击 其 
他 系统 。 


8.3 常见 的 网 络 攻击 技术 


831 常见 的 网 络 攻击 技术 


黑客 的 攻击 手段 多 种 多 样 ,对 常见 攻击 方法 的 了 解 将 有 助 于 用 户 达 到 有 效 防 止 黑客 
入 侵 的 目的 。 


1. Web 欺骗 技术 


欺骗 是 一 种 主动 攻击 技术 , 它 能 破坏 两 台 计 算 机 间 通 信和 链 路 上 的 正常 数据 流 , 并 可 能 
向 通信 和 链 路 上 插入 数据 。 一 般 Web 欺骗 使 用 两 种 技术 , 即 URL 地 址 重 写 技术 和 相关 信 
息 掩盖 技术 。 首 先 黑客 建立 一 个 使 人 相信 的 Web 站 点 的 拷贝 , 它 具 有 所 有 的 页 面 和 链 
接 , 然 后 利用 URL 地 址 重 写 技 术 , 将 自己 的 Web 地 址 加 在 所 有 真实 URL 地 址 的 前 面 。 
这 样 , 当 用 户 与 站 点 进行 数据 通信 时 ,就 会 毫 无 防备 地 进入 黑客 的 服务 器 ,用 户 的 所 有 信 
息 便 处 于 黑客 的 监视 之 中 了 ,但 由 于 浏览 器 一 般 均 有 地 址 栏 和 状态 栏 , 用 户 可 以 在 地 址 栏 
和 状态 栏 中 获得 连接 中 的 Web 站 点 地 址 及 其 相关 的 传输 信息 ,并 由 此 可 以 发 现 问题 ,所 
以 黑客 往往 在 URL 地 址 重 写 的 同时 ,还 会 利用 相关 信息 掩盖 技术 ,以 达到 掩盖 欺骗 的 
目的 。 


2. 放置 特洛伊 木马 程序 


特洛伊 木马 的 攻击 手段 就 是 将 一 些 * 后 门 "“ 特 殊 通道 "隐藏 在 某 个 软件 里 ,将 使 用 该 
软件 的 计算 机 系统 成 为 被 攻击 和 控制 的 对 象 。 特 洛 伊 木马 程序 可 以 直接 侵入 用 户 的 计算 
机 并 进行 破坏 , 它 常 被 伪装 成 工具 程序 或 者 游戏 等 , 诱 使 用 户 打开 带 有 特洛伊 木马 程序 的 
邮件 附件 或 从 网 上 直接 下 载 。 一 旦 用 户 打开 了 这 些 邮件 的 附件 或 者 执行 了 这 些 程序 之 
后 ,它们 就 会 留 在 用 户 的 计算 机 中 ,并 在 系统 中 隐藏 一 个 可 以 在 Windows 启动 时 隐秘 执 
行 的 程序 。 当 用 户 连接 到 Internet 时 ,这 个 程序 就 会 通知 黑客 ,报告 用 户 的 IP 地 址 以 及 
预先 设 定 的 端口 。 黑 客 在 收 到 这 些 信 息 后 ,再 利用 这 个 潜伏 在 其 中 的 程序 ,就 可 以 任意 地 
修改 用 户 的 计算 机 的 参数 设 定 、 复 制 文件 .窥视 用 户 整个 硬盘 中 的 内 容 等 ,从 而 达到 控制 
用 户 的 计算 机 的 目的 。 


3. 口令 攻击 


口令 攻击 是 指 先 得 到 目标 主机 上 某 个 合法 用 户 的 账号 后 ,再 对 合法 用 户口 令 进行 破 
译 ,然后 使 用 合法 用 户 的 账号 和 破译 的 口令 登录 到 目标 主机 ,对 目标 主机 实施 攻击 活动 。 
口令 攻击 方法 获得 用 户 账号 的 方法 很 多 ,主要 是 对 口令 的 破译 ,常用 的 方法 有 以 下 
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几 种 。 

(1) 暴力 破解 。 暴 力 破解 基本 上 是 一 种 被 动 攻击 的 方式 。 黑 客 在 知道 用 户 的 账号 
后 ,利用 一 些 专门 的 软件 强行 破解 用 户口 令 , 这 种 方法 不 受 网 段 限制 ,但 需要 有 足够 的 耐 
心 和 时 间 , 这 些 工具 软件 可 以 自动 地 从 黑客 字典 中 取出 一 个 单词 ,作为 用 户 的 口令 输入 给 
远 端 的 主机 ,申请 进入 系统 。 若 口令 错误 ,就 按 序 取出 下 一 个 单词 ,进行 下 一 个 尝试 ,直到 
找到 正确 的 口令 或 黑客 字典 的 单词 试 完 为 止 。 由 于 这 种 破译 过 程 是 由 计算 机 程序 自动 完 
成 的 ,因而 几 个 小 时 内 就 可 以 把 几 十 万 条 记录 的 字典 里 所 有 单词 都 尝试 一 遍 。 图 8.1 为 
“多 功能 密码 破解 软件 " 主 界面 。 
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图 8.1 “多 功能 密码 破解 软件 " 主 界面 


(2) 密码 探测 。 大 多 数 情 况 下 ,操作 系统 保存 和 传送 的 密码 都 要 经 过 一 个 加 密 处 理 
的 过 程 , 完 全 看 不 出 原始 密码 的 模样 ,而 且 理 论 上 要 逆向 还 原 密码 的 几率 几乎 为 零 。 但 黑 
客 可 以 利用 密码 探测 的 工具 ,反复 模拟 编码 过 程 .并 将 编 出 的 密码 与 加 密 后 的 密码 相 比 
较 , 如 果 两 者 相同 ,就 表示 得 到 了 正确 的 密码 。 

(3) 网 络 监听 。 黑 客 可 以 通过 网 络 监听 得 到 用 户口 令 , 这 类 方法 有 一 定 的 局 限 性 ,但 
危害 性 极 大 。 由 于 很 多 网 络 协议 根本 就 没有 采用 任何 加 密 或 身份 认证 技术 ,如 在 Telnet、 
FTP、FTTP、SMTP 等 传输 协议 中 ,用 户 账 号 和 密码 信息 都 是 以 明文 形式 传输 的 ,此 时 若 
黑客 利用 数据 包 截 取 工具 便 可 很 容易 收集 到 用 户 的 账号 和 密码 。 另 外 ,黑客 有 时 还 会 利 
用 软件 和 硬件 工具 时 刻 监视 系统 主机 的 工作 ,等 待 记录 用 户 登 录 信息 ,从 而 取得 用 户 密 
码 。 图 8. 2 为 Uhack 网 络 监听 工具 ,可 监听 经 过 网 卡 的 数据 包 , 并 有 简单 的 过 滤 功 能 。 

(4) 登录 界面 攻击 法 。 黑 客 可 以 在 被 攻击 的 主机 上 ,利用 程序 伪造 一 个 登录 界面 ,以 
骗取 用 户 的 账号 和 密码 。 当 用 户 在 这 个 伪造 的 界面 上 输入 登录 信息 后 ,程序 可 记录 用 户 
的 信息 并 传送 到 黑客 的 主机 ,然后 关闭 界面 .给 出 提示 信息 “系统 故障 ”或 “输入 错误 ”, 要 
求 用 户 重新 输入 。 此 时 , 假 的 登录 程序 自动 结束 , 才 会 出 现 真 正 的 登录 界面 。 

例如 ,“3Q 大 次 "盗号 木马 一 般 通 过 网 页 挂 马 或 下 载 器 下 载 等 途径 进入 计算 机 系统 。 如 
果 用 户 不 慎 感 染 并 运行 该 木马 .会 显示 出 同 QQ 2010 非常 相似 的 登录 页 面 ,而 且 仿 真 度 极 
高 ,界面 中 还 包含 代理 设置 、 软 键盘 .QQ 2010 登录 窗口 .QQ 经 典 登录 窗口 等 ,如 图 8. 3 
所 示 。 
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图 8.3 “3Q 大 盗 ”木马 模仿 的 QQ 软件 登录 界面 


4. 电子 邮件 攻击 


电子 邮件 是 Internet 上 运用 得 十 分 广泛 的 一 种 通信 方式 ,但 同时 它 也 面临 着 巨大 的 
安全 风险 。 攻 击 者 可 以 使 用 一 些 邮件 炸弹 软件 向 目标 邮箱 发 送 大量 内 容重 复 、 无 用 的 垃 
圾 邮件 ,从 而 使 目标 邮箱 被 撑 爆 而 无 法 使 用 。 当 垃圾 邮件 的 发 送 流量 特别 大 时 ,还 可 以 造 
成 邮件 系统 的 次 次 。 另 外 ,对 于 电子 邮件 的 攻击 还 包括 窃取 、 自 改 邮件 数据 ,伪造 邮件 , 利 
用 邮件 传播 计算 机 病毒 等 。 


5. 网 络 监 听 


网 络 监听 是 主机 的 一 种 工作 模式 ,在 这 种 模式 下 ,主机 可 以 接收 到 本 网 段 在 同一 物理 
通道 上 传输 的 所 有 信息 ,而 不 管 这 些 信息 的 发 送 方 和 接收 方 是 谁 。 网 络 监听 可 以 在 网 上 
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的 任何 一 个 位 置 进 行 ,如 局 域 网 中 的 一 台 主 机 、 网 关 、 路 由 设备 或 交换 设备 上 ,或 远程 网 的 
调制 解 调 器 之 间 等 。 因 为 系统 在 进行 密码 校 验 时 ,用 户 输入 的 密码 需要 从 用 户 端 传送 到 
服务 器 端 ,这 时 ,黑客 就 能 在 两 端 之 间 进 行 数据 监听 。 此 时 车 两 台 主 机 进行 通信 的 信息 没 
有 加 密 , 只 要 使 用 某 些 网 络 监听 工具 ,就 可 轻而易举 地 截取 包括 口令 和 账号 在 内 的 信息 资 
料 。 虽 然 网 络 监听 获得 的 用 户 账号 和 口令 具有 一 定 的 局 限 性 ,但 黑客 往往 能 够 获得 其 所 
在 网 段 的 所 有 用 户 账号 及 口令 。 


6. 端口 扫描 攻击 


所 谓 端口 扫描 ,就 是 利用 Socket 编程 与 目标 主机 的 某 些 端口 建立 TCP 连接 、 进 行 传 
输 协议 的 验证 等 ,从 而 得 知 目标 主机 的 扫描 端口 是 否 处 于 激活 状态 、 主 机 提供 了 哪些 服 
务 ,提供 的 服务 中 是 否 含有 某 些 缺 陷 等 。 在 TCP/IP 协议 中 规定 ,计算 机 可 以 有 256X 
256 个 端口 ,通过 这 些 端口 进行 数据 的 传输 。 黑 客 一 般 会 发 送 特洛伊 木马 程序 , 当 用 户 不 
小 心 运行 后 ,计算 机 内 的 某 一 端口 就 会 打开 ,黑客 就 可 通过 这 一 端口 进入 用 户 的 计算 机 


7. 缓冲 区 溢出 


许多 系统 都 有 这 样 那样 的 安全 漏洞 ,其 中 一 些 安全 漏洞 是 操作 系统 或 应 用 软件 本 身 
所 具有 的 ,如 缓冲 区 溢出 攻击 。 缓 冲 区 溢出 是 一 个 非常 普遍 、 危 险 的 漏洞 ,在 各 种 操作 系 
统 、. 应 用 软件 中 广泛 存在 。 产 生 缓 剖 区 溢出 的 根本 原因 在 于 ,将 一 个 超过 缓冲 区 长 度 的 字 
串 拷贝 到 缓冲 区 。 滋 出 带 来 了 两 种 后 果 ,一 是 过 长 的 字 串 覆盖 了 相 邻 的 存储 单元 ,引起 程 
序 运行 失败 ,严重 的 可 引起 死机 、 系 统 重新 启动 等 后 果 ; 二 是 利用 这 种 漏洞 可 以 执行 任意 
指令 ,甚至 可 以 取得 系统 特权 。 针 对 这 些 漏洞 ,黑客 可 以 在 长 字符 串 中 嵌入 一 段 代码 ,并 
将 过 程 的 返回 地 址 覆盖 为 这 段 代 码 的 地 址 。 当 过 程 返回 时 ,程序 就 转 而 开始 执行 这 段 黑 
客 自 编 的 代码 了 。 一 般 来 说 ,这 段 代 码 都 是 执行 一 个 Shell 程序 。 这 样 , 当 黑客 人 侵 一 个 
带 有 缓冲 区 溢出 缺陷 且 具 有 Suid-root 属性 的 程序 时 ,就 会 获得 一 个 具有 Root 权限 的 
Shell, 在 这 个 Shell 中 黑客 可 以 干 任 何事 。 恶 意 地 利用 缓冲 区 溢出 漏洞 进行 攻击 ,可 以 导 
致 运行 失败 、 系 统 死机 、 重 启 等 后 果 , 更 为 严重 的 是 ,可 以 利用 它 执行 非 授 权 指 令 , 甚 至 可 
以 取得 系统 特权 ,进而 进行 各 种 非法 操作 ,取得 计算 机 的 控制 权 。 


832 拒绝 服务 攻击 
1. 拒绝 服务 攻击 简介 


拒绝 服务 (denial of service,DoS) 攻 击 大 致 可 以 分 为 两 类 。 一 类 DoS 攻击 是 由 于 错 
误 配 置 或 者 软件 弱点 导致 的 , 某 些 DoS 攻击 是 由 于 协议 固有 的 缺陷 或 者 对 协议 的 实现 导 
致 的 ,这 类 攻击 可 以 通过 开发 商 发 布 简单 的 补丁 来 解决 ; 另 一 类 DoS 攻击 利用 合理 的 服 
务 请 求 来 占用 过 多 的 服务 资源 ,致使 服务 超载 ,无 法 响应 其 他 的 请 求 。 这 些 服务 资源 包括 
网 络 带 宽 文件 系统 空间 容量 .CPU 时 间 等 。 这 种 攻击 会 导致 系统 资源 的 匮乏 。 无 论 计 
算 机 的 处 理 速度 多 么 快 , 内 存 容量 多 么 大 ,网 络 的 带宽 有 多 少 ,都 总 有 一 个 极限 ,所 以 ,总 
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能 找到 一 种 方法 使 请 求 的 值 大 于 该 极限 值 .对 于 这 类 攻击 还 没有 一 个 固定 的 解决 方案 。 

长 期 以 来 ,第 一 类 DoS 攻击 ,也 就 是 由 于 错误 配置 或 者 软件 弱点 导致 的 攻击 是 攻击 
的 主流 方式 。 这 是 因为 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,这 种 攻击 方法 往往 
需要 相当 大 的 带宽 ,而 高 带宽 是 大 公司 和 国家 科研 机 关 所 拥有 的 ,以 个 人 为 主 的 黑客 很 难 
享用 。 为 了 克服 这 个 缺点 ,攻击 者 开发 出 分 布 式 攻击 技术 ,利用 工具 集合 许多 的 网 络 带宽 
来 对 同一 个 目标 发 送 大 量 的 请 求 ,这 就 引信 了 一 个 新 概念 : 分 布 式 。 这 些 程序 可 以 使 得 
分 散在 Internet 各 处 的 机 器 共同 完成 对 一 台 主 机 攻击 的 操作 ,从 而 使 主机 看 起 来 好 像 是 
遇 到 了 不 同位 置 的 许多 主机 的 攻击 。 这 些 分 散 的 机 器 通过 由 几 台 主 控制 机 操作 来 进行 多 
种 类 型 的 攻击 ,如 UDP flood、SYN flood 等 。 

DoS 攻击 的 一 个 特点 是 这 种 攻击 通常 无 法 追踪 。 由 于 这 种 攻击 一 般 不 需要 与 目标 之 
间 的 交互 ,所 以 攻击 者 可 以 伪造 IP 地 址 。 在 UNIX 环境 中 伪造 源 IP 地 址 非常 容易 ,不 过 
这 需要 攻击 者 具有 root 权限 。 


2. 常见 的 拒绝 服务 攻击 


(1) flood 

flood 是 “淹没 ”的 意思 , 它 是 DoS 攻击 的 一 种 手法 ,具有 高 带宽 的 计算 机 可 以 通过 大 
量 发 送 TCP、UDP 或 者 ICMP echo request 的 报 文 ,将 低 带 宽 的 计算 机 “淹没 ”, 降 低 对 方 
计算 机 的 响应 速度 。 其 中 最 简单 的 一 种 办 法 就 是 在 UNIX 下 使 用 Ping-IP, 这 种 通过 发 
送 异 常 的 ,大 的 Ping 来 杀 掉 服务 器 的 方法 有 时 称 为 ping of death。 另 一 种 常用 的 手法 称 
为 SYN flood, 攻 击 者 有 意 不 完成 TCP 的 3 次 握手 过 程 ,其 目的 是 让 等 待 建立 某 种 特定 
服务 的 连接 数量 而 超过 系统 所 能 承受 的 数量 ,从 而 使 系统 不 能 建立 新 的 连接 。 

虽然 所 有 的 操作 系统 对 每 个 连接 都 设置 了 一 个 计时 器 ,如 果 计 时 器 超时 就 释放 资源 ， 
但 是 攻击 者 可 以 持续 建立 大 量 新 的 SYN 连接 来 消耗 系统 资源 。 很 显然 ,由 于 攻击 者 并 
不 想 完成 3 次 握手 过 程 ,所 以 不 需要 接收 SYN/ACK, 因 此 ,也 就 没有 必要 使 用 真实 的 IP 
地 址 。 实 现 SYN flood 是 非常 简单 的 ,在 Internet 上 有 大 量 的 源 程序 可 以 下 载 。 

(2) Smurf 

Smurf 是 一 种 很 古老 的 DoS 攻击 ,这 种 方法 使 用 了 广播 地 址 (broadcast address)。 
发 向 广播 地 址 的 IP 包 会 被 网 络 中 所 有 的 计算 机 所 接收 ,广播 地 址 的 尾数 通常 为 0, 如 
192. 168. 1.0, 尾 数 为 255 的 地 址 通常 作为 多 播 地 址 (multicast address) ,但 有 时 候 也 被 用 
作 广 播 地 址 。 

设想 发 送 一 个 IP 包 到 广播 地 址 192. 168. 1.0 ,假设 这 个 网 络 中 有 50 台 计 算 机 ,将 会 
收 到 50 次 应 答 ,广播 地 址 在 这 里 起 到 了 放大 器 的 作用 ,Smurf 攻击 就 利用 了 这 种 作用 。 
如 果 A 发 送 1KB 大 小 的 ICMP echo request 到 广播 地 址 ,那么 A 将 收 到 1KBXN 的 
ICMP Reply, 其 中 ,N 为 网 络 中 计算 机 的 总 数 。 当 N 等 于 100 万 时 ,产生 的 应 答 将 达到 
1GB, 这 将 会 大 量 消耗 网 络 资源 ,如 果 B 假 冒 了 A 的 IP 地 址 ,那么 收 到 应 答 的 是 A, 对 和 AA 
来 说 就 是 一 次 拒绝 服务 攻击 。 最 经 典 的 Smurf 程序 称 为 parasmurf. c。 

(3) Teardrop 

在 早期 BSD UNIX 实现 的 网 络 协议 中 ,在 处 理 数据 包 分 段 时 存在 漏洞 ,后 来 的 一 些 
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操作 系统 都 沿用 了 BSD 的 代码 ,所 以 这 个 漏洞 在 Linux、Windows 2000 和 Windows 2003 
中 都 是 存在 的 。 物 理 网 络 层 通常 给 所 能 传输 的 帧 加 一 个 尺寸 上 限 ,IP 将 数据 报 的 大 小 与 
物理 层 的 帧 的 上 限 进 行 比较 ,如 果 需 要 则 进行 分 段 。 在 IP 报头 中 设置 了 一 些 域 用 于 分 
段 : 其 中 标志 域 为 发 送 者 传输 的 每 个 报 文 保留 一 个 独立 的 值 ,这 个 数值 被 复制 到 每 个 特 
定 报 文 的 每 个 分 段 ,标志 域 中 有 一 位 作为 “更 多 分 段位 ,除了 最 后 一 段 外 该 位 在 组 成 一 个 
数据 报 的 所 有 分 段 中 被 置 位 ;分 段 偏 移 域 (fragment offset) 含 有 该 分 段 自 初始 数据 报 开 
始 位 置 的 位 移 。 对 于 有 Teardrop 漏洞 的 操作 系统 ,如 果 接 收 到 * 病 态 的 ?数据 分 段 ,例如 
一 个 40B 的 数据 报 被 分 为 两 段 ,第 一 段 数据 发 送 0 一 36B, 而 第 二 段 发 送 24 一 27B, 在 某 些 
情况 下 会 破坏 整个 IP 协议 栈 , 只 有 必须 重新 启动 计算 机 才能 恢复 。 


3. 拒绝 服务 攻击 的 防范 方法 


RFC 2267 建议 在 全 球 范 围 的 Internet 路 由 器 上 使 用 向 内 过 滤 的 机 制 防止 假冒 地 址 
的 攻击 ,使 得 外 部 机 器 无 法 假冒 内 部 机 器 的 地 址 来 对 内 部 机 器 发 动 攻击 。 但 是 这 种 办 法 
应 用 起 来 存在 太 大 的 闲 难 ,ISP 往往 并 不 是 很 关心 这 类 安全 问题 。 

从 目前 的 情况 来 看 ,为 了 防御 拒绝 服务 攻击 ,很 多 商业 网 站 都 采用 DNS 轮 循 ,或 者 通 
过 负载 均衡 .Cluster 等 技术 来 增加 响应 主机 数量 ,但 这 样 做 的 成 本 是 很 高 的 。 

绿 盟 科技 (www. nsfocus. com) 开 发 的 抗拒 绝 服务 攻击 产品 “黑洞 " 蚌 防 拒绝 服务 攻 
击 这 个 领域 非常 领先 的 产品 。 据 绿 盟 介绍 , “黑洞 ”能够 对 SYN flood、UDP flood、ICMP 
flood 和 stream flood 等 各 类 DoS 攻击 进行 防护 。 可 以 防止 连接 耗 尽 , 对 典型 * 以 小 博大 ” 
的 资源 比拼 型 攻击 (如 大 规模 的 多 线程 下 载 ) 也 具有 良好 的 防护 能 力 。 由 于 可 以 给 各 种 端 
口 扫描 软件 反馈 迷惑 性 信息 ,因此 ,也 可 以 对 其 他 类 型 的 攻击 起 到 保护 作用 。 


833 特洛伊 木马 攻击 


特洛伊 木马 就 是 我 们 平常 所 说 的 木马 ,名 称 取 自 希腊 神话 特洛伊 木马 , 它 是 一 种 基于 
远程 控制 的 黑客 工具 ,具有 隐蔽 性 和 非 授权 性 的 特点 。 这 里 的 隐 项 性 是 指 木马 的 设计 者 
为 了 防止 木马 被 发 现 , 会 采用 多 种 手段 隐藏 木马 ,这 样 服务 端 即 使 发 现 感染 了 木马 病毒 ， 
也 很 难 确定 其 具体 位 置 。 非 授权 性 是 指控 制 端 与 服务 端 连接 后 ,控制 端 将 享有 服务 端的 
大 部 分 操作 权限 ,包括 修改 文件 ,修改 注册 表 、 控 制 鼠 标 和 键盘 等 ,而 这 些 权利 并 不 是 服务 
端 赋予 的 ,而 是 通过 木马 程序 窍 取 的 。 

从 木马 的 发 展 来 看 ,可 以 分 为 两 个 阶段 。 最 初 网 络 还 处 于 以 UNIX 平台 为 主 的 时 
期 ,木马 就 产生 了 ,当时 木马 程序 的 功能 相对 简单 ,往往 是 将 一 段 程序 谋 入 到 系统 文件 中 ， 
用 跳 转 指令 来 执行 一 些 木马 的 功能 。 这 个 时 期 木马 的 设计 者 和 使 用 者 大 都 是 一 些 技术 人 
员 , 具 备 了 相当 的 网 络 和 编程 知识 。 后 来 , 随 着 Windows 平台 的 日 益 普 及 ,一 些 基于 图 形 
操作 的 木马 程序 出 现 了 ,改善 后 的 用 户 界面 更 加 友好 ,使 用 者 不 需要 懂得 太 多 的 专业 知识 
就 可 以 熟练 地 操作 木马 。 木 马 的 使 用 者 增加 了 ,相应 的 木马 入 侵 事件 也 频繁 出 现 , 而 且 由 
于 这 个 时 期 木马 的 功能 日 趋 完 善 , 因 此 对 服务 端的 破坏 性 也 更 大 了 。 

一 个 完整 的 木马 系统 由 硬件 部 分 .软件 部 分 和 具体 连接 部 分 组 成 。 硬 件 部 分 是 指 建 
立木 马 连 接 所 必需 的 硬件 实体 。 前 面 曾经 提 到 控制 端 和 服务 端 ,控制 端 指 的 是 对 服务 端 
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进行 远程 控制 的 一 方 。 服 务 端 是 指 被 控制 端 远程 控制 的 一 方 。 而 Internet 则 是 控制 端 对 
服务 端 进行 远程 控制 .传输 数据 的 网 络 载体 。 软 件 部 分 是 实现 远程 控制 所 必需 的 软件 程 
序 , 包 括 控制 端 程序 ,木马 程序 及 木马 配置 程序 。 其 中 ,控制 端 程序 是 控制 端 用 以 远程 控 
制服 务 端 的 程序 ;木马 程序 是 指 潜入 服务 端 内 部 ,获取 其 操作 权限 的 程序 ;木马 配置 程序 
是 指 设置 木马 程序 的 端口 号 、 触 发 条 件 和 木马 名 称 等 ,这 个 程序 主要 是 为 了 让 木马 在 服务 
端 更 隐藏 。 具 体 连接 部 分 是 指 木马 进行 数据 传输 的 目的 地 。 

根据 木马 程序 的 用 途 , 木 马 程序 可 以 分 为 网 络 游戏 木马 、 网 银 木 马 、 即 时 通信 软件 木 
马 、 网 页 点 击 类 木马 .下载 类 木马 ,代理 类 木马 。 


1. 配置 木马 


对 木马 进行 配置 的 主要 目的 是 实现 木马 的 伪装 和 信息 反馈 两 个 功能 。 木 马 的 伪装 是 
指 为 了 更 好 地 隐藏 木马 ,采用 多 种 伪装 手段 ,如 修改 图 标 、 捆 绑 文 件 或 定制 端口 等 诸多 方 
式 。 信 息 反馈 是 指 木 马 配置 程序 将 信息 反馈 的 方式 或 地 址 进行 设置 ,如 设置 信息 反馈 的 
邮件 地 址 或 QQ 号 等 。 

具体 而 言 ,木马 的 伪装 形式 包括 以 下 几 种 。 

(1) 修改 图 标 。 用 户 在 接收 到 的 邮件 的 附件 中 看 到 文本 文件 的 图 标 时 ,里 面 可 能 隐 
藏 着 木马 程序 。 因 为 现在 已 经 有 可 以 将 木马 服务 端 程序 的 图 标 改 成 HIML、TXT 或 ZIP 
等 文件 图 标的 专门 技术 。 当 然 ,目前 提供 这 种 功能 的 木马 还 不 是 很 多 ,并 且 这 种 伪装 也 不 
是 无 懈 可 击 的 。 

(2) 捆绑 文件 。 这 种 伪装 手段 是 将 木马 捆绑 在 一 个 安装 程序 上 , 当 安 装 程序 运行 时 ， 
木马 在 用 户 毫 无 察觉 的 情况 下 进入 了 系统 。 

(3) 出 错 提示 。 有 一 定 木马 知识 的 人 都 知道 ,如 果 欲 打开 一 个 文件 却 没有 任何 反应 ， 
这 很 可 能 就 是 个 木马 程序 。 木 马 的 设计 者 为 了 弥补 这 个 缺陷 ,就 为 木马 提供 了 一 个 出 错 
显示 的 功能 。 当 服务 端 用 户 打开 木马 程序 时 ,会 弹出 一 个 伪造 的 错误 提示 框 ,内 容 可 以 自 
定义 ,如 “文件 无 法 打开 !”。 

(4) 定制 端口 。 老 式 的 木马 程序 所 使 用 的 端口 一 般 都 是 固定 的 ,利于 判断 是 否 感染 
木马 。 木 马 的 设计 者 为 了 弥补 这 个 缺陷 ,为 木马 提供 了 一 个 叫 作 定制 端口 的 功能 。 控 制 
端 用 户 可 以 选择 任意 一 个 大 于 1024 的 端口 作为 木马 端口 ,为 判断 木马 带 来 了 困难 。 

(5) 自我 销毁 。 当 服务 端 打 开 含 有 木马 的 文件 后 ,木马 会 将 自己 拷贝 到 操作 系统 的 
系统 文件 中 。 一 般 来 说 ,原木 马 文件 的 大 小 和 系统 文件 夹 中 的 大 小 是 一 样 的 ,感染 了 木马 
的 用 户 只 要 在 收 到 的 邮件 和 下 载 的 软件 中 找到 原木 马 文件 ,在 系统 文件 夹 中 找到 相同 大 
小 的 文件 ,就 可 以 判断 木马 确实 存在 了 。 而 木马 的 自我 销毁 功能 是 指 安装 完 木 马 后 , 原 木 
马 文件 将 自动 销毁 ,这 样 服务 端 用 户 就 很 难 找到 木马 的 来 源 。 

(6) 木马 更 名 。 安 装 到 系统 文件 夹 中 的 木马 的 文件 名 一 般 是 固定 的 ,那么 只 要 
根据 一 定 的 常规 知识 ,找到 特定 的 文件 ,就 可 以 知道 中 了 什么 木马 。 而 现在 有 很 多 
木马 都 允许 控制 端 用 户 自 由 定制 安装 后 的 木马 文件 名 ,这 样 就 很 难 判断 所 感染 的 木 
马 类 型 了 。 
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2. 传播 木马 


传播 木马 的 方式 主要 有 两 种 : 一 种 是 通过 电子 邮件 ,控制 端 将 木马 程序 以 附件 的 形 
式 随同 邮件 发 送 ; 而 另 一 种 是 软件 下 载 ,一 些 非 正规 的 网 站 以 提供 软件 下 载 的 名 义 ,将 森 
马 捆绑 在 软件 安装 程序 上 ,程序 下 载 后 ,只 要 一 运行 ,木马 就 会 自动 安装 。 


3. 运行 木马 


木马 自动 安装 后 ,首先 将 自己 拷贝 到 操作 系统 的 系统 文件 夹 中 ,然后 在 注册 表 、 启 动 
组 及 非 启动 组 中 设置 好 木马 的 触发 条 件 , 这 样 木 马 的 安装 就 完成 了 。 安 装 后 就 可 以 启动 
木马 了 。 木 马 的 运行 过 程 如 下 : 设置 木马 的 触发 条 件 , 木 马 进 入 内 存 , 然 后 开启 相应 的 端 
口 。 运 行 后 的 木马 会 将 服务 端的 相关 信息 泄露 给 控制 端 ,并 在 开放 的 端口 等 候 控 制 端的 
连接 。 

触发 条 件 是 指 启动 木马 的 条 件 , 大 致 出 现在 以 下 几 个 地 方 。 

(1) 注册 表 [ HKEY-LOCAL-MACHINE \ Software \ Microsoft \ Windows \ 
CurrentVersion\] 的 Run 和 RunSerices 主键 。 

(2) system. ini 文件 中 在 [386enh]、[mci] 和 [drivers32] 内 有 关于 启动 木马 的 命 
令 行 。 

(3) 文件 autoexec. bat 和 config. sys 及 应 用 程序 的 启动 配置 文件 也 可 以 启动 木马 。 
这 种 加 载 方式 一 般 都 需要 控制 端 用 户 与 服务 端 建立 连接 后 ,将 已 添加 木马 启动 命令 的 同 
名 文件 上 传 服 务 端 覆 盖 这 两 个 文件 才 行 。 

(4) 注册 表 [LHKEY-CLASSES-ROOT\ 文 件 类 型 \shell\open\commandj] 主 键 。 例 
如 ,国产 木马 “冰河 ”就 是 通过 修改 此 键 ,将 “C: \Windows\SYSTEM\sysexplr. exe%1” 
改 为 “C:\Windows\system\sysexplr. exe%1”。 双 击 一 个 文本 文件 后 ,原本 应 打开 记事 
本 的 程序 都 变 成 启动 木马 程序 了 。 通 过 修改 . html、. exe 及 . zit 等 文件 的 启动 命令 的 键 值 
都 可 以 启动 木马 。 

(5) 拥 绑 文件 。 实 现 这 种 触发 条 件 要 控制 端 和 服务 端 已 通过 木马 建立 连接 ,然后 控 
制 端 用 户 用 工具 软件 将 木马 文件 和 某 一 应 用 程序 拥 绑 在 一 起 ,上 传 到 服务 端 覆 盖 文 件 。 
这 样 即使 木马 被 删除 了 ,只 要 运行 捆绑 了 木马 的 应 用 程序 ,木马 又 会 被 运行 安装 。 

(6)“ 启 动 "菜单 。 在 “开始 ”>“ 程 序 ”>“ 启 动 ”选项 下 也 可 能 有 木马 的 触发 条 件 。 

木马 运行 时 都 在 开放 端口 ,如 果 在 脱 机 状态 下 查看 到 有 端口 开放 ,或 上 网 时 ,有 一 些 
数值 比较 大 的 端口 开放 , 那 就 要 小 心 查 看 是 否 已 经 感染 木马 了 。 

4. 信息 泄露 

设计 成 熟 的 木马 都 有 信息 反馈 机 制 ,这 里 的 信息 反馈 是 指 木马 成 功 安装 后 会 收集 一 
些 服务 端的 软 、 硬 件 信息 ,并 通过 相关 的 方式 反馈 给 控制 端 用 户 。 泄 露 的 信息 包括 操作 系 


统 、 系 统 目录 、 硬 盘 分 区 情况 和 系统 口令 等 。 在 这 些 信息 中 ,最 重要 的 是 服务 端的 IP 
地 址 。 
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5. 建立 连接 


有 了 IP 地 址 之 后 ,木马 连接 就 可 以 建立 起 来 ,这 样 ,控制 端 端口 和 木马 端口 之 间 就 会 
出 现 一 条 通道 。 而 控制 端 上 的 控制 端 程序 就 可 以 通过 这 条 通道 与 服务 端 上 的 木马 程序 取 
得 联系 ,并 通过 木马 程序 对 服务 端 进行 远程 控制 。 


6. 远程 控制 


控制 端 能 享有 的 控制 权限 有 以 下 几 种 。 

(1) 窃取 密码 。 一 切 以 明文 形式 或 缓存 在 Cache 中 的 密码 都 能 被 木马 侦 测 到 ,此 外 
很 多 木马 还 提供 击 键 记录 功能 , 它 将 会 记录 服务 端 每 次 硕 击 键盘 的 动作 。 一 旦 木马 入 侵 ， 
用 户 密码 将 很 容易 被 窃取 。 

(2) 文件 操作 。 控 制 端 可 由 远程 控制 对 服务 端 上 的 文件 进行 删除 ,新建 、 修 改 、 上 传 、 
下 载 .运行 和 更 改 属性 等 一 系列 操作 。 

(3) 修改 注册 表 。 控 制 端 可 任意 修改 服务 端 注册 表 , 包 括 删 除 、 新 建 或 修改 主键 、 子 
键 或 键 值 。 这 样 , 控 制 端 就 可 以 禁止 服务 端 软驱 和 光驱 的 使 用 , 锁 住 服务 端的 注册 表 , 将 
服务 端 上 木马 的 触发 条 件 设置 得 更 隐蔽 ,从 而 完成 一 系列 高 级 操作 。 

(4) 系统 操作 。 这 项 内 容 包括 重启 或 关闭 服务 端 操作 系统 . 断 开 服务 端的 网 络 连接 、 
控制 服务 端的 鼠标 和 键盘 ,监视 服务 端 桌 面 操作 查看 服务 端 进程 及 控制 端 ,甚至 可 以 随 
时 给 服务 端 发 送信 息 。 

随 着 网 络 的 普及 ,上 网 的 人 或 多 或 少 都 要 受到 木马 的 困扰 。 木 马 主要 是 通过 下 载 软 
件 和 电子 邮件 两 种 途径 传播 。 所 以 ,为 了 避免 感染 木马 用 户 首先 要 到 正规 的 网 站 去 下 载 
软件 。 然 后 ,在 接收 邮件 的 时 候 , 一 定 要 谨慎 地 观察 附件 。 如 果 附 件 是 . exe 文件 或 者 是 
一 些 不 常见 的 文件 类 型 ,有 可 能 是 木马 。 另 外 ,前 面 曾经 提 及 木马 也 可 以 将 图 标 伪装 成 
. txt 或 . html, 这 样 就 要 看 附件 的 长 度 了 ,一 个 木马 程序 一 般 都 要 100KB 以 上 ,而 . txt 或 
. html 就 不 会 这 么 大 了 。 最 后 ,就 是 看 打开 附件 之 后 的 反应 了 ,如 果 打 开 附 件 毫 无 反应 ， 
或 者 是 弹出 一 个 出 错 提示 框 , 那 可 能 就 是 木马 了 。 


< 【条例 】“ 友 馈 子 "的 攻击 


案例 分 析 


“ 灰 鲍 子 ”是 国内 一 款 著名 后 门 程序 , 比 起 “冰河 ”“ 黑 洞 ”来 ,“ 灰 忽 子 ”可 以 说 是 国内 
后 门 的 集大成 者 。 其 丰富 而 强大 的 功能 ,灵活 多 变 的 操作 、 良 好 的 隐藏 性 等 ,使 其 他 后 门 
工具 都 相形 见 织 。 而 其 客户 端 简易 便捷 的 操作 ,使 刚 入 门 的 初学 者 也 可 充当 黑客 。 


操作 环境 
Windows Server 2003、Windows XP 系统 。 
操作 步 双 
第 1 步 将 * 灰 鲍 子 "软件 下 载 并 安装 之 后 , 即 可 通过 “开始 "菜单 或 桌面 上 的 “ 灰 饮 
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子 ” 快 捷 方式 进入 客户 端 操作 窗口 ,如 图 8.4 所 示 。 在 运用 “ 灰 饮 子 ”软件 之 前 ,需要 先 在 
自己 的 本 地 机 上 生成 木马 的 服务 端 。 
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图 8.4 黑 防 版 * 灰 鸽子 " 主 界面 
第 2 步 选择 “文件 ”>“ 配 置 服务 程序 ”命令 , 即 可 打开 “服务 器 配置 ”窗口 ,如 图 8.5 


保存 路 径 :|C WDocoments ad Settineswa] 


图 8.5 “服务 器 配置 "窗口 


第 3 步 在 “安装 选项 ”选项 卡 中 可 以 设置 将 服务 器 程序 安装 到 哪个 目录 、 安 装 名 称 
等 信息 ,并 选择 “安装 成 功 后 自动 删除 安装 文件 ”选项 ,如 图 8.6 所 示 。 

第 4 步 选择 “启动 项 设置 ”选项 卡 ,然后 在 几 个 文本 框 中 输入 相关 信息 ,如 图 8.7 
所 示 。 
第 5 步 选中 “高 级 选项 ”选项 卡 , 如 图 8.8 所 示 。 


图 8.6 “安装 选项 "选项 卡 


图 8.7 “启动 项 设置 "选项 卡 


图 8.8 “高 级 选项 "选项 卡 
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第 6 步 在 “保存 路 径 " 文 本 框 中 输入 生成 的 服务 端 程 序 的 保存 路 径 及 文件 名 。 最 后 
单 击 “ 生 成 服务 器 ”按钮 , 即 可 生成 服务 端 程序 ,如 图 8.9 所 示 。 

将 “ 灰 钢 子 "服务 端 程 序 发 送 给 目标 并 成 功 安 装 之 后 ,使 用 客户 端 就 可 以 远程 控制 目 
标 计算 机 了 。 

第 7 步 为 了 使 客户 端 收 到 服务 端 自 动 上 线 的 信息 ,还 需要 对 客户 端的 自动 上 线 进 
行 设置 ,选择 客户 端 主 窗口 中 的 “文件 ”>“ 自 动 上 线 ” 命 令 进入 图 8. 10 中 进行 设置 ,设置 
完成 后 , 单 击 “ 更 新 IP 到 FTP 空间 ”按钮 ,如 图 8.11 所 示 , 则 FTP 更 新 IP 文件 成 功 。 


(EE 


FIP 服务 器 : | 192. 168.0.70 21 


存放 IF 的 文件 : | ip txt 
王 文 件 内 容 | 192.168.0.70:8000 


Y 自动 保存 填写 的 信息 ? YW 更 新 IT 到 FT 空间 


192.168.0.70:8000 


Y 自动 保存 填写 的 信息 ? YY 更 新 Tr 到 rTP 空间 


FTP 更 新 IP 文 件 成 功 


图 8.11 更 新 成 功 


第 8 步 展开 文件 目录 浏览 中 的 自动 上 线 主 机 ,主机 上 线 , 如 图 8.12 所 示 。 

第 9 步 文件 控制 。 当 客户 端 与 服务 端正 常 连接 之 后 ,用 户 就 可 以 远程 控制 服务 端 
计算 机 了 。 

在 “ 灰 鲍 子 ” 客 户 端 界面 中 ,打开 “文件 管理 器 ”选项 卡 , 单 击 需要 远程 控制 的 计算 机 名 
称 前 的 折 胎 按钮 , 即 可 查看 该 远程 计算 机 上 的 文件 ,并 可 以 实现 文件 的 上 传 与 下 载 , 如 
图 8.13 所 示 。 


第 6 章 网 络 攻防 技术 &' 


GOO 


CT 


文件 加 设置 @) 工具 C) 帮助 0 


or 
自动 上 虞 。 捕 区 办 可 。 视频 再 音 。 Telnet 配置 服务 程序 。 是 中 化 退出 
。 当前 连接 : [Al41 电脑 名 称 : A141 连接 密码 [L 凡 


。 要 内 容 : [Et [| Mri: gam [2 


EL i 有 多 X 了 BB 国 轩 三 - 
日 上 自动 上 贱 主 机 5 “oY i 


[Cid 
勒 罕 全 条件 主机 


| 连接 成 功 ; M41 成 功 ! ~ 
驱动 器 列表 读 取 完 毕 . 现在 可 以 对 主机 进行 运程 控制 了 .20:09-46 E 林 . 同 | 过 


动 上 线 : 1 


图 8.12 主机 上 线 


7 ELITE 


:XX 有 的 国 .四 


Tn Docments md Settines row Tile 


Duyaea Brinws 国 Yootfont. bin 
加 wesetur oe 加 sz erect. co 

国 beotseet tos 局 bot ini 国 cmmmre ss 。 国 Amomzc BAT 
In.srs 国 msnos srs 。 国 Jiweclt Log 回 mmomnsts mr 


国 
国 atiasta loe 国 peeefile ore。 轿 Sersio0 sys 


<p rE 
名 符合 条 件 主机 


娃 取 文 首 列表 命令 发 送 成 功 ! 
文件 列表 读 取 完毕 、20:-11:57 


_22 个 对象 当前 路 径 : C;\ 


图 8.13 “文件 管理 器 "选项 卡 


第 10 步 远程 控制 命令 。 打 开 “ 远 程控 制 命令 " 选 项 卡 , 即 可 实现 对 远程 计算 机 进行 
重启 、 关 闭 、 查 看 远程 计算 机 系统 信息 、 查 看 和 结束 远程 计算 机 进程 .查看 和 控制 远程 计算 
机 服务 、 查 看 远程 或 本 地 剪贴 板 内 容 、 查 看 远程 计算 机 共享 信息 等 操作 ,如 图 8. 14 所 示 。 

第 11 步 注册 表 编 辑 器 。 打 开 “ 注 册 表 编辑 器 ”选项 卡 , 即 可 查看 和 编辑 远程 计算 机 
注册 表 , 如 图 8.15 所 示 。 
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图 8.15 “注册 表 编辑 器 "选项 卡 


第 12 步 命令 广播 。 打开 “命令 广播 ”选项 卡 ,在 “常用 命令 广播 " 子 选项 卡 中 ,用 户 
可 以 卸载 远程 计算 机 中 的 “ 灰 饲 子 ”服务 端 程 序 、 重 启 或 关闭 远程 计算 机 ,以 及 通过 远程 计 
算 机 打开 网 页 和 从 远程 计算 机 下 载 文件 ,如 图 8. 16 所 示 。 

此 外 ,在 “命令 广播 ”选项 卡 中 用 户 还 可 以 向 远程 计算 机 发 送 消息 、 筛 选 符合 条 件 的 主 
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图 8.16 “命令 广播 ”选项 卡 


机 、 批 量 修改 备注 。 
第 13 步 ”屏幕 控制 。 单 击 工具 栏 上 的 “捕获 屏幕 "按钮 , 即 可 打开 * 捕 获 屏幕 ”窗口 ， 
如 图 8.17 所 示 。 
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8.17 屏幕 控制 


单 走 工具 栏 上 的 “传送 筷 标 和 键盘 操作 ”按钮 到] .客户 端 即 可 远程 控制 目标 计算 
机 的 屏幕 操作 。 单 击 “ 发 送 组 合 键 "按钮 , 即 可 远程 控制 目标 计算 机 的 屏幕 操作 。 单 击 “ 发 
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送 组 合 键 ?按钮 , 即 可 从 弹出 的 菜单 中 选择 系统 发 送 的 组 合 键 命令 。 

单 击 “保存 ”按钮 , 即 可 将 当前 远程 计算 机 屏幕 保存 下 来 ,还 可 以 将 远程 计算 机 屏幕 操 
作 记 录 为 MPEG 文件 ,以 供 浏 览 。 

第 14 步 视频 语言 。 通 过 视频 语言 功能 ,用 户 可 以 与 远程 计算 机 进行 语言 交流 ,并 
可 将 远程 计算 机 摄像 头 数据 记录 成 MPEG 文件 。 此 外 ,“ 灰 饮 子 ”远程 控制 程序 还 具有 一 
般 远 程控 制 都 具有 的 Telnet 功能 ,如 图 8.18 所 示 。 
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8.18 Telnet 功能 


8.4 常见 的 攻击 工具 


841 邮件 炸弹 工具 


所 谓 的 电子 邮件 炸弹 , 指 的 是 邮件 发 送 者 利用 特殊 的 电子 邮件 软件 ,在 很 短 的 时 间 内 
连续 不 断 地 将 邮件 邮寄 给 同一 个 收 信人 ,在 这 些 数 以 千 万 计 的 大 容量 信件 面前 收 件 箱 肯 
定 不 堪 重 负 , 而 最 终 * 爆 炸 身亡 *”。 目 前 ,知名 的 邮件 炸弹 有 E-mail Bomb 、KaBoom3、 
Unabomb 等 。 

这 种 攻击 手段 不 仅 会 干扰 用 户 的 电子 邮件 系统 的 正常 使 用 ,甚至 还 能 影响 到 邮件 系 
统 所 在 的 服务 器 系统 的 安全 ,造成 整个 网 络 系统 全 部 瘫痪 ,所 以 邮件 炸弹 具有 很 大 危害 。 

邮件 炸弹 可 以 大 量 消耗 网 络 资源 ,常常 导致 网 络 塞车 ,使 大 量 的 用 户 不 能 正常 地 工 
作 。 通 常 ,网 络 用 户 的 信箱 容量 是 很 有 限 的 ,在 有 限 的 空间 中 ,如 果 用 户 在 短 时 间 内 收 到 
成 千 上 万 封 电子 邮件 ,那么 经 过 一 轮 邮 件 炸 弹 释 炸 后 的 电子 邮件 的 总 容量 很 容易 就 把 用 
户 有 限 的 阵地 挤 垮 。 这 样 用 户 的 邮箱 中 将 没有 多 余 的 空间 接纳 新 的 邮件 ,那么 新 邮件 将 
会 被 丢失 或 者 被 退回 ,这 时 用 户 的 邮箱 已 经 失去 了 作用 ;另外 ,这 些 邮件 炸弹 所 携带 的 大 
容量 信息 不 断 在 网 络 上 来 回 传输 ,很 容易 堵塞 带宽 并 不 富裕 的 传输 信道 ,加 重 服务 器 的 工 
作 强 度 ,导致 服务 器 处 理 电 子 邮 件 整个 过 程 的 延迟 。 
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预防 炸弹 袭击 的 措施 如 下 。 

(1) 向 ISP 求 援 。 一 旦 信箱 被 帮 炸 了 ,但 自己 又 没有 好 的 办 法 来 对 付 它 ,这 时 应 该 向 
ISP 服务 商 求援 ,它们 会 采取 办 法 清除 E-mail Bomb。 

(2) 采用 过 滤 功 能 。 在 邮件 软件 中 安装 一 个 过 滤器 (如 E-mail Notify) 是 一 种 最 有 效 
的 防范 措施 。 在 接收 任何 电子 邮件 之 前 预先 检查 发 件 人 的 资料 ,如 果 觉 得 有 可 疑 之 处 ,可 
以 将 之 删除 ,不 让 它 进 入 用 户 的 邮件 系统 。 但 这 种 做 法 有 时 会 误 删除 一 些 有 用 的 邮件 。 
如 果 担 心 有 人 恶意 破坏 你 的 信箱 ,给 你 发 来 一 个 “ 重 磅 炸弹 ”, 可 以 在 邮件 软件 中 启用 过 滤 
功能 ,把 邮件 服务 器 设置 为 超过 信箱 容量 的 大 邮件 时 自动 删除 。 

(3) 使 用 转 信 功 能 。 有 些 邮 件 服务 器 为 了 提高 服务 质量 往往 设 有 “自动 转 信 ”功能 ， 
利用 该 功能 可 以 在 一 定 程度 上 解决 容量 特大 邮件 的 攻击 问题 。 假 设 用 户 申请 了 一 个 转 信 
信箱 ,利用 该 信箱 的 转 信 功能 和 过 滤 功 能 ,可 以 将 那些 不 愿意 看 到 的 邮件 统统 过 滤 掉 , 删 
除 在 邮件 服务 器 中 ,或 者 将 垃圾 邮件 转移 到 自己 其 他 免费 的 信箱 中 ,或 者 干脆 放弃 使 用 被 
禾 炸 的 邮箱 ,另外 重新 申请 一 个 新 的 信箱 。 

(4) 并 慎 使 用 自动 回信 功能 。 所 谓 “ 自 动 回信 ”就 是 指 对 方 给 用 户 的 这 个 信箱 发 来 一 
封 信 而 用 户 如 果 没 有 及 时 收取 ,邮件 系统 会 按照 用 户 事先 的 设 定 自动 给 发 信人 回复 一 封 
确认 收 到 的 信件 。 这 个 功能 本 来 给 大 家 带 来 了 方便 ,但 也 有 可 能 制造 成 邮件 炸弹 ! 试想 
一 下 ,如 果 给 用 户 发 信 的 人 使 用 的 邮件 账号 系统 也 开启 了 自动 回信 功能 ,那么 当 用 户 收 到 
他 发 来 的 信 而 没有 及 时 收取 时 ,用 户 的 系统 就 会 给 他 自动 发 送 一 封 确认 信 。 人 恰巧 他 在 这 
段 时 间 也 没有 及 时 收取 信件 ,那么 他 的 系统 又 会 自动 给 用 户 发 送 一 封 确认 收 到 的 信 。 如 
此 一 来 ,这 种 自动 发 送 的 确认 信 便 会 在 双方 的 系统 中 不 断 重复 发 送 , 直 到 把 用 户 双方 的 信 
箱 都 撑 爆 为 止 。 

(5) 用 专用 工具 来 对 付 。 如 果 用 户 的 邮箱 不 幸 已 经 “中 弹 ”, 而 且 用 户 还 想 继续 使 用 
这 个 信箱 名 的 话 , 可 以 用 一 些 邮 件 工具 软件 如 PoP-It 来 清除 这 些 垃圾 信息 。 这 些 清除 软 
件 可 以 登录 到 邮件 服务 器 上 ,使 用 其 中 的 命令 来 删除 不 需要 的 邮件 ,保留 有 用 的 信件 。 


842 扫描 工具 


扫描 工具 是 一 种 能 够 自动 检测 远程 或 本 地 主机 安全 弱点 的 程序 ,通过 它 可 以 获得 远 
程 计算 机 的 各 种 端口 分 配 及 提供 的 服务 和 它们 的 版 本 。 扫 描 器 攻击 时 是 通过 选用 不 同 的 
TCP/IP 端口 的 服务 ,并 记录 目标 主机 给 予 的 应 答 , 以 此 搜集 到 关于 目标 主机 的 各 种 有 用 
信息 ,而 不 是 直接 进攻 , 它 获 取 的 信息 必须 经 过 人 为 的 分 析 才 能 成 为 真正 有 用 的 信息 。 当 
然 ,这 需要 用 户 具 有 一 定 的 网 络 知识 ,否则 ,扫描 器 对 于 用 户 来 说 ,将 毫 无 用 处 。 

下 面 介绍 两 种 有 名 的 扫描 器 。 


1. 流光 


流光 是 集 端口 扫描 、 字 典 工具 .和 人 侵 工具 ` 口 令 猜 解 于 一 身 的 多 功能 扫描 器 。 它 能 让 
一 个 刚刚 会 用 鼠标 的 人 成 为 专业 级 黑客 。 它 可 以 探测 POP3、FTP、SMTP、IMAP.、SQL、 
IPC、IIS、FINGER 等 各 种 漏洞 ,并 针对 各 种 漏洞 设计 了 不 同 的 破解 方案 ,能 够 在 有 漏洞 的 
系统 上 轻易 得 到 被 探测 的 用 户 密码 。 流 光 对 Windows 2000/XP 上 的 漏洞 都 可 以 探测 ,使 
它 成 为 黑客 手中 必 备 的 工具 之 一 。 
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流光 的 功能 非常 强大 , 它 支 持 163/169 双 通 和 多 线程 检测 ,支持 高 效 的 用 户 流 模式 和 
高 效 服务 器 流 模式 ,可 同时 对 多 台 POP3/FTP 主机 进行 检测 , 它 支持 最 多 500 个 线程 控 
测 , 当 线 程 超时 设置 时 ,阻塞 线程 具有 自杀 功能 ,不 会 影响 其 他 线程 。 流 光 还 支持 10 个 字 
典 同时 检测 。 并 且 检 测 设置 可 作为 项 目 保存 。 


2. SuperScan 


SuperScan 是 一 个 功能 强大 的 端口 扫描 工具 。 它 可 以 通过 Ping 来 检验 目标 计算 机 
是 否 在 线 , 支 持 IP 和 域名 相互 转换 ,还 可 以 检验 一 定 范围 内 目标 计算 机 的 端口 情况 和 提 
供 的 服务 类 别 。SuperScan 可 以 自 定义 要 检验 的 端口 ,并 可 以 保存 为 端口 列表 文件 , 它 还 
自 带 了 一 个 端口 列表 ,通过 这 个 列表 可 以 检测 目标 计算 机 是 否 有 木马 ,同时 用 户 也 可 以 自 
己 定 义 、 修 改 以 上 木马 端口 列表 。 在 SuperScan 找到 的 主机 上 , 右 击 可 以 实现 HTTP 浏 
览 Telnet 登录 FTP 上 传 ,域名 查询 等 功能 ,界面 如 图 8. 19 所 示 。 


开始 下 结束 IF 


四 本 四 查看 rm 结果) 


|Ready 
图 8.19 SuperScan 4.0 界面 
SuperScan 扫描 时 的 速度 非常 快 ,而 且 CPU 占用 率 也 非常 小 ,非常 平稳 ,甚至 感觉 不 
到 它 的 运行 。 同 时 ,SuperScan 扫描 时 占用 的 带宽 也 非常 小 ,在 使 用 宽带 和 电话 拨号 网 络 
时 ,几乎 没有 什么 差别 。SuperScan 很 适合 扫描 整个 网 段 中 的 特定 端口 ,用 它 做 端口 范围 
1 一 65535 的 扫描 也 非常 适合 ,所 以 ,许多 人 把 SuperScan 作为 扫描 肉鸡 及 制作 SOCK 代 
理 的 必 备 工具 。 其 缺点 是 扫描 时 ,有 些 端口 无 法 扫描 到 。 


<D> |【 素 例 】 坑口 扫描 工具 SiparScan 的 使 用 


案例 分 析 


SuperScan 是 一 个 功能 强大 的 端口 扫描 工具 。 它 可 以 通过 Ping 来 检验 目标 计算 机 
是 否 在 线 ,支持 JP 和 域名 相互 转换 ,还 可 以 检验 一 定 范围 内 目标 计算 机 的 端口 情况 和 提 
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供 的 服务 类 别 。 
操作 环境 

Windows Server 2003、Windows XP 系统 。 
操作 步 桑 


第 1 步 扫描 IP 地 址 。 

下 载 并 给 SuperScan 4. 0 解压 后 ,双击 SuperScan. exe, 开 始 使 用 。 打 开 主 界面 ,默认 为 扫描 
(Scan) 菜 单 ,允许 用 户 输 入 一 个 或 多 个 主机 名 或 IP 范围 。 也 可 以 选 文 件 下 的 输入 地 址 列表 。 
输入 主机 名 或 IP 范围 后 开始 扫描 , 单 击 了 按钮 ,SuperScan 开始 扫描 地 址 ,如 图 8. 20 所 示 。 


Soan | Host and Service Discovey | Scan Options | Tools | Windows Enumeraton | Abou | 


Ps 
temp >| [ae TEP [Dea Selected 
OE -| 车 Clea 
EndIP Fm 


ReadiPshonfle 2> | 


加 Yew HTML Resuls 


图 8.20 SuperScan 在 指定 的 IP 范围 内 扫描 


扫描 进程 结束 后 ,SuperScan 将 提供 一 个 主机 列表 ,关于 每 台 扫描 过 的 主机 被 发 现 的 
开放 端口 信息 。SuperScan 还 有 选择 以 HTML 格式 显示 信息 的 功能 ,如 图 8.21 所 示 。 


上 > - 国 上 日 同 | 改 殉国 % 防 开国 - 驴 加 -9 
-pm 他 于 到 | | 链接 


图 8.21 SuperScan 显示 扫描 的 主机 和 在 每 台 主 机 上 开放 的 端口 
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第 2 步 进行 主机 和 服务 器 扫描 设置 。 
(1) 这 是 从 一 群 主 机 中 执行 简单 的 扫描 ,然而 很 多 时 候 需要 定制 扫描 。 图 8.22 上 看 
到 的 是 Host and Service Discovery 选项 。 这 个 选项 在 扫描 的 时 候 可 看 到 更 多 信息 。 


图 8.22 Host and Service Discovery 扫描 界面 


(2) 在 菜单 顶部 是 Host discovery 复 选 框 ,发 现 主 机 的 默认 方法 是 通过 重复 请 求 (Echo 
Requests) 。 通 过 选择 和 取消 各 种 可 选 的 扫描 方式 选项 ,也 能 够 通过 利用 时 间 惟 请求 
(Timestamp Request)、 地 址 屏蔽 请 求 (Address Mask Requests) 和 消息 请 求 (Information 
Requests) 来 发 现 主 机 。 应 该 注意 的 是 ,用 户 选 择 的 选项 越 多 ,那么 扫描 用 的 时 间 就 越 长 。 
如 果 用 户 试图 尽量 多 地 收集 一 个 明确 的 主机 的 信息 ,建议 首先 执行 一 次 常规 的 扫描 以 发 现 
主机 ,然后 再 利用 可 选 的 请 求 选项 来 扫描 。 在 菜单 的 底部 ,包括 UDP 端口 扫描 和 TCP 端口 
扫描 项 。 通 过 屏幕 的 截图 ,注意 到 SuperScan 最 初 开始 扫描 的 仅仅 是 那 几 个 最 普通 的 常用 
端口 。 原 因 是 有 超过 65 000 个 的 TCP 和 UDP 端口 。 若 对 每 个 可 能 开放 端口 的 卫 地 址 , 进 
行 超过 130 000 次 的 端口 扫描 , 那 将 需要 更 长 的 时 间 。 因 此 ,SuperScan 最 初 开始 扫描 的 仅仅 
是 那 几 个 最 普通 的 常用 端口 ,但 给 用 户 扫描 额外 端口 的 选项 。 

第 3 步 使 用 扫描 选项 。 

如 图 8. 23 所 示 ,Scan Options 选项 卡 允许 进一步 地 控制 扫描 进程 。 莱 单 中 的 首选 项 是 
定制 扫描 过 程 中 主机 和 通过 审查 的 服务 数 。1 是 默认 值 ,一 般 来 说 已 足够 ,除非 不 太 可 靠 。 

Scan Options 中 接 下 来 的 选项 ,能 够 设置 主机 名 解析 的 数量 。 同 样 ,数量 1 足够 了 ， 
除非 用 户 的 连接 不 可 靠 。 另 一 个 选项 是 获取 标志 (Banner Grabbing) 的 设置 , Banner 
Grabbing 是 根据 显示 一 些 信息 尝试 得 到 远程 主机 的 回应 。 软 认 的 延迟 是 8000 毫秒 ,如 
果 用 户 所 连接 的 主机 较 慢 ,这 个 时 间 就 显得 不 够 长 。 

窗口 右 侧 旁 边 的 滑 块 是 扫描 速度 调节 选项 ,能 够 利用 它 来 调节 SuperScan 在 发 送 每 


图 8.23 Scan Options 选项 界面 


个 包 所 要 等 待 的 时 间 。 最 快 的 可 能 扫描 ,当然 是 调节 滚动 条 为 0。 可 是 ,扫描 速度 设置 为 
0, 有 包 溢 出 的 潜在 可 能 。 如 果 用 户 担心 由 于 SuperScan 引起 的 过 量 包 溢出 ,最 好 调 慢 
SuperScan 的 速度 。 

第 4 步 使 用 工具 选项 。 

使 用 SuperScan 的 工具 选项 允许 用 户 很 快 得 到 许多 关于 一 个 明确 的 主机 信息 。 正 确 输 
入 主机 名 或 者 IP 地 址 和 默认 的 连接 服务 器 ,然后 单 击 要 得 到 相关 信息 的 按钮 。 如 用 户 Ping 
一 台 服 务 器 或 traceroute 和 发 送 一 个 HTTP 请 求 。 图 8. 24 显示 了 得 到 的 各 种 信息 。 
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图 8.24 Tools 选 项 卡 
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第 5 步 使 用 Windows 枚 举 选项 。 

最 后 的 功能 选项 是 Windows 枚 举 选 项 ,就 像 用 户 大 概 猜测 的 一 样 ,如 果 用 户 设法 收 
集 的 信息 是 关于 Linux/UNIX 主机 的 , 那 这 个 选项 是 没什么 用 的 。 但 若 用 户 需 要 
Windows 主机 的 信息 , 它 确实 是 很 方便 的 。 如 图 8. 25 所 示 , 其 中 能 够 提供 从 单个 主机 到 
用 户 群 组 ,再 到 协议 策略 的 所 有 信息 。 


图 8.25 Windows 枚 举 选 项 


843 网 络 监听 工具 


网 络 监听 是 一 种 常用 的 被 动 式 网 络 攻击 方法 ,能 帮助 人 侵 者 轻易 获得 用 其 他 方法 很 
难 获得 的 信息 ,包括 用 户口 令 ,账号 .敏感 数据 、IP 地 址 、 路 由 信息 、TCP 套 接 字 号 等 。 类 
似 “ 食 肉 动物 ”一 类 的 监听 软件 ,一 旦 成 功 地 登录 目标 网 络 上 的 一 台 主机 ,就 会 取得 该 机 的 
超级 用 户 权限 ,而 且 往往 会 尝试 攻击 网 络 中 的 其 他 主机 ,以 实现 对 整个 网 络 的 监听 。 

网 络 监听 通常 在 网 络 接口 处 截获 计算 机 之 间 通 信 的 数据 流 , 是 进行 网 络 攻击 最 简单 、 
最 有 效 的 方法 , 它 具 有 以 下 特点 。 

(1) 隐蔽 性 强 。 进 行 网 络 监听 的 主机 只 是 被 动 地 接收 网 上 传输 的 信息 ,没有 任何 主 
动 的 行为 , 既 不 修改 网 上 传输 的 数据 包 , 也 不 往 链 路 上 插入 任何 数据 ,很 难 被 网 络 管理 员 
觉察 到 。 

(2) 手段 灵活 。 网 络 监听 可 以 在 网 上 的 任何 位 置 实 施 , 可 以 是 网 上 的 一 台 主 机 、 路 由 
器 ,也 可 以 是 调制 解 调 器 。 其 中 ,网 络 监 听 效 果 最 好 的 地 方 是 在 网 络 中 某 些 具有 战略 意义 
的 位 置 ,如 网 关 、 路 由 器 、 防 火 墙 之 类 的 设备 或 重要 网 段 ;而 使 用 最 方便 的 地 方 是 在 网 中 的 
一 人 台 主 机 上 。 

正 因为 网 络 监听 具有 以 上 特点 ,因此 检测 非常 困难 ,这 意味 着 更 大 的 安全 危害 。 虽 然 
成 功 检测 到 网 络 监 听 难 度 很 大 ,但 网 络 监 听 并 非 无 懈 可 击 , 通 过 采取 积极 、 有 效 的 措施 ,就 
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能 够 发 现 它 的 蛛丝马迹 。 

监听 非常 消耗 CPU 资源 , 当 系统 运行 网 络 监听 软件 时 ,系统 因 负 荷 过 重 ,而 对 外 界 
的 响应 很 慢 。 因 此 ,对 于 怀疑 运行 监听 程序 的 主机 ,可 用 正确 的 IP 地 址 和 错误 的 物理 地 
址 去 探测 (如 Ping) ,运行 监听 程序 的 主机 会 有 响应 。 这 是 因为 正常 的 主机 不 接收 错误 的 
物理 地 址 ,而 处 于 监听 状态 的 主机 能 接收 。 另 外 ,可 向 网 上 发 送 大 量 目的 地 址 根本 不 存在 
的 数据 包 , 由 于 监听 程序 将 处 理 这些 数 据 包 ,会 导致 主机 性 能 下 降 。 通 过 比较 该 主机 前 后 
的 性 能 ,就 可 以 作出 判断 ,但 这 种 方法 难度 较 大 。 当 前 ,有 两 个 比较 可 行 的 办 法 : 一 是 搜 
索 网 上 所 有 主机 运行 的 进程 。 网 络 管理 员 使 用 UNIX 或 Windows NT 的 主机 ,可 以 很 容 
易 地 得 到 当前 进程 的 清单 ,并 确定 是 否 有 一 个 进程 被 从 管理 员 主机 上 启动 ;二 是 搜查 监听 
程序 。 现 在 监听 程序 只 有 有 限 的 几 种 ,管理 员 可 以 检查 目录 , 找 出 监听 程序 。 

还 有 两 个 方法 在 发 现 监听 方面 比较 有 效 ,但 缺点 是 难度 较 大 : 一 是 检查 被 怀疑 主机 
中 是 否 有 一 个 随时 间 不 断 增长 的 文件 存在 ,因为 网 络 监 听 输 出 的 文件 通常 很 大 , 且 随 时 间 
不 断 增长 ;二 是 通过 运行 Ipconfig 命令 检查 网 卡 是 否 被 设置 成 了 监听 模式 ,或 使 用 
Ifstatus 工具 ,定期 检测 网 络 接口 是 否 处 于 监听 状态 。 当 网 络 接口 处 于 监听 状态 时 ,很 可 
能 是 入 侵 网 络 监听 的 防范 一 般 比较 困难 ,通常 可 采取 数据 加 密 和 网 络 分 段 两 种 方法 。 

(1) 数据 加 密 。 数 据 加 密 的 优越 性 在 于 ,即使 攻击 者 获得 了 数据 ,如 果 不 能 破译 ,这 
些 数据 对 他 也 是 没有 用 的 。 一 般 而 言 , 人 们 真正 关心 的 是 那些 秘密 数据 的 安全 传输 ,使 其 
不 被 监听 和 偷 换 。 如 果 这 些 信息 以 明文 的 形式 传输 ,就 很 容易 被 截获 而 且 阅 读 出 来 。 因 
此 ,对 秘密 数据 进行 加 密 传输 是 一 个 很 好 的 办 法 。 

(2) 网 络 分 段 。 即 采用 网 络 分 段 技术 ,建立 安全 的 网 络 拓扑 结构 ,将 一 个 大 的 网 络 分 
成 若干 个 小 的 网 络 , 如 将 一 个 部 门 一 个 办 公 室 等 可 以 相互 信任 的 主机 放 在 一 个 物理 网 段 
上 ,网 段 之 间 再 通过 网 桥 、 交 换 机 或 路 由 器 相连 ,实现 相互 隔离 。 这 样 ,即使 某 个 网 段 被 监 
听 了 ,网 络 中 其 他 网 段 还 是 安全 的 。 因 为 数据 包 只 能 在 该 子 网 的 网 段 内 被 截获 ,网 络 中 剩 
余 的 部 分 (不 在 同一 网 段 的 部 分 ) 则 被 保护 了 。 


844 木马 程序 


一 般 的 木马 程序 都 有 客户 端 和 服务 器 端 两 个 执行 程序 ,其 中 客户 端 是 用 于 黑客 远程 
控制 植 人 木马 的 机 器 的 程序 ,服务 器 程序 即 是 木马 程序 。 如 果 黑 客 要 通过 木马 入 侵 用 户 
的 系统 ,他 所 要 做 的 第 一 步 就 是 要 让 木马 的 服务 器 端 程序 在 用 户 的 计算 机 中 运行 。 一 旦 
运行 成 功 ,木马 程序 就 可 以 获得 系统 管理 员 的 权限 ,在 用 户 毫 不 觉察 的 情况 下 ,对 计算 机 
做 任何 能 做 的 事情 ,所 以 ,计算 机 用 户 应 该 经 常 检查 自己 的 系统 ,做 好 木马 的 预防 和 清除 
工作 。 下 面 以 国产 的 木马 程序 冰河 为 例 。 

冰河 是 一 个 优秀 的 木马 程序 , 它 功能 众多 ,几乎 涵盖 了 所 有 的 Windows 的 常用 操作 ， 
并 具有 简单 .明了 的 中 文 使 用 界面 。 

冰河 的 服务 器 端 和 客户 端 都 是 一 个 可 执行 的 文件 。 服 务 器 程序 在 目标 计算 机 上 执行 
以 后 ,该 计算 机 的 7626 号 端口 就 对 外 开放 了 。 如 果 在 客户 端 输 入 其 IP 地 址 ,就 可 完全 控 
制 这 台 计 算 机 了 ,图 8. 26 所 示 为 冰河 程序 的 客户 端 窗口 。 

其 主要 功能 及 特点 如 下 。 
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图 8.26 冰河 V8.4 的 客户 端 窗口 


(1) 记录 各 种 口令 信息 。 它 包括 开机 口令 、 屏 保 口 令 、 共 享 资源 口令 等 , 随 着 版 本 的 
升 高 , 它 所 能 够 记录 的 口令 信息 会 增加 。 

(2) 获取 系统 信息 。 它 主要 包括 计算 机 名 、 当 前 用 户 、 系 统 路 径 .操作 系统 版 本 ,物理 
及 逻辑 磁盘 信息 等 多 项 系统 数据 。 

(3) 远程 文件 操作 。 可 以 进行 创建 .上 传 . 下 载 ,复制 .删除 文件 ,文件 压缩 .远程 打开 
文件 等 多 种 文件 操作 功能 。 

(4) 限制 系统 功能 。 它 具有 远程 关机 、 远 程 重启 机 器 、 锁 定 鼠 标 、 启 用 热 键 等 功能 。 

(5) 发 送信 息 。 这 是 指向 被 控 端 发 送 短信 息 。 

(6) 注册 表 操 作 。 它 包括 对 主键 的 浏览 增删、 复制 等 操作 。 

(7) 点 到 点 通信 。 以 聊天 室 的 形式 同 被 控制 端 进行 在 线 交谈 。 


8.5 黑客 攻击 的 防范 


851 防止 黑客 攻击 的 措施 


各 种 黑客 的 攻击 程序 虽然 功能 强大 ,但 并 不 可 怕 。 只 要 我 们 做 好 相应 的 防范 工作 ,就 
可 以 大 大 降低 被 黑客 攻击 的 可 能 性 。 具 体 来 说 ,要 做 到 以 下 几 点 。 


1. 要 提高 安全 意识 


不 随意 打开 来 历 不 明 的 电子 邮件 及 文件 ,不 随便 运行 不 太 了 解 的 人 送 给 的 程序 ,防止 
运行 黑客 的 服务 器 程序 。 尽 量 避 免 从 Internet 下 载 不 知名 的 软件 和 游戏 程序 。 即 使 从 知 
名 的 网 站 下 载 的 软件 也 要 及 时 用 最 新 的 病毒 和 木马 查 杀 工 具 对 软件 和 系统 进行 扫描 。 密 
码 设置 尽量 能 使 用 字母 数字 混 排 ,单纯 的 英文 或 者 数字 很 容易 被 破解 。 常 用 的 若干 密码 
不 应 设置 成 相同 的 内 容 , 密 码 最 好 经 常 更 换 。 要 及 时 下 载 并 安装 系统 补丁 程序 。 不 随便 
运行 黑客 程序 。 
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2. 使 用 反 黑 客 软件 


尽 可 能 经 常 性 地 使 用 多 种 最 新 的 、 能 够 查 解 黑客 的 杀毒 软件 或 可 靠 的 反 黑 客 软件 来 
检查 系统 。 必 要 时 应 在 系统 中 安装 具有 实时 检测 .拦截 、 查 解 黑 客 攻击 程序 的 工具 。 


3. 使 用 防火 墙 


防火 墙 是 抵御 黑客 程序 人 侵 的 非常 有 效 的 手段 。 它 通过 在 网 络 边界 上 建立 起 来 的 相 
应 网 络 通信 监控 系统 来 隔离 内 部 和 外 部 网 络 ,可 阻挡 外 部 网 络 的 人 侵 和 攻击 。 


4. 安装 杀毒 软件 


要 将 防毒 、 防 黑 当 成 日 常 例 行 工作 ,定时 更 新 防毒 组 件 ,及 时 升级 病毒 库 , 将 防毒 软件 
保持 在 常 驻 状态 ,以 彻底 防毒 。 


5. 做 好 数据 的 备份 


确保 重要 数据 不 被 破坏 的 最 好 办 法 就 是 定期 或 不 定期 的 备份 数据 ,特别 重要 的 数据 
应 该 每 天 备份 。 


6. 隐藏 自己 的 IP 


保护 自己 的 IP 地 址 是 很 重要 的 。 事 实 上 ,即便 用 户 的 机 器 上 被 安装 了 木马 程序 , 若 
没有 用 户 的 IP 地 址 ,攻击 者 也 是 没有 办 法 的 ,而 保护 IP 地 址 的 最 好 方法 就 是 设置 代理 服 
务 器 。 代 理 服务 器 能 起 到 外 部 网 络 申请 访问 内 部 网 络 的 中 间 转 接 作用 ,其 功能 类 似 于 一 
个 数据 转发 器 , 它 主要 控制 哪些 用 户 能 访问 哪些 服务 类 型 。 

总 之 ,我 们 应 当 认真 制定 有 针对 性 的 策略 。 明 确 安全 对 象 , 设 置 强 有 力 的 安全 保障 体 
系 。 在 系统 中 层 层 设防 ,使 每 一 层 都 成 为 一 道 关 卡 , 从 而 让 攻击 者 无 际 可 钼 ,无 计 可 施 。 


852 发 现 黑客 入 侵 后 的 对 策 
1. 估计 受害 形势 ,发 出 攻击 警报 
当 确认 系统 受到 入 侵 时 ,首先 应 尽 可 能 快 地 估计 出 入 侵 造成 的 破坏 程度 。 当 系统 遇 


到 严重 破坏 或 不 能 正常 运行 时 ,应 向 相关 公安 部 门 和 信息 安全 管理 部 门 报告 ,以便 通过 司 
法 手段 解决 问题 。 


2. 采取 措施 


(1) 杀 死 这 个 进程 以 切断 黑客 与 系统 的 连接 。 必 要 时 ,切断 网 络 连 接 , 同 时 ,注意 保 
存 现场 ,以 便 事后 调查 原因 并 进行 分 析 。 

(2) 使 用 安全 工具 跟踪 这 个 连接 , 找 出 黑客 的 来 路 和 身份 ,询问 他 们 究竟 想 要 做 什 
么 ,并 发 出 警告 。 

(3) 管理 员 可 以 使 用 一 些 工具 来 监视 黑客 ,观察 他 们 在 做 什么 。 
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3. 使 用 网 络 工具 


可 以 通过 网 络 安 全 工具 找到 入 侵 者 从 哪个 主机 过 来 ,然后 查看 哪些 用 户 登录 进入 远 
程 系统 。 


4. 修复 漏洞 
修复 安全 漏洞 并 恢复 系统 ,不 给 黑客 可 乘 之 机 。 
<D> [条 例 】“ 友 后 季 "的 清除 与 防范 


案例 分 析 


为 了 使 “ 灰 馈 子 " 避 开 杀 毒 软件 的 查 杀 , 有 些 人 就 会 故意 给 " 灰 鲍 子 " 加 上 各 种 不 同 的 
沉 , 造 成 网 络 上 不 断 有 新 的 “ 灰 鲍 子 ” 变 种 出 现 。 即 便 是 有 杀毒 软件 ,也 难免 会 有 一 些 “ 漏 
网 之 鱼 "”。 如 果 机 器 中 出 现 了 “ 灰 铭 子 " 症 状 , 但 杀毒 软件 查 杀 不 到 ,就 很 有 可 能 是 机 器 被 
感染 了 还 没有 被 蕉 获 的 新 变种 。 这 个 时 候 ,就 需要 手工 清除 掉 “ 灰 饱 子 ”。 手 工 清除 “ 灰 钢 
子 ” 并 不 难 , 重 要 的 是 必须 懂得 它 的 运行 原理 。 

1.“ 灰 饮 子 ”的 运行 原理 

“ 灰 铅 子 " 远 程 监控 软件 分 为 两 部 分 : 客户 端 和 服务 器 端 。 黑 客 操纵 着 客户 端 ,利用 
客户 端 配置 生成 一 个 服务 器 端 程序 。 服 务 器 端 文件 的 名 字 默 认为 G-Server. exe 运行 之 
后 ,会 将 自己 拷贝 到 Windows 文件 夹 下 ,再 释放 G-Server. dll 和 G-Server-HOOK. dll 到 
Windows 文件 夹 下 。G-Server. exe、G-Server. dll、G-Server- HOOK. dll 这 3 个 文件 夹 互 
相配 合 组 成 了 “ 灰 饮 子 ” 服 务 器 端 , 有 些 还 会 多 释放 出 一 个 名 为 G-ServerKey. dll 的 文件 
夹 用 来 记录 键盘 操作 。 

Windows 文件 夹 下 的 G-Server. exe 文件 会 将 自己 注册 成 服务 状态 ,这 样 ,用 户 在 每 
次 开机 之 后 都 将 自动 运行 该 文件 ,启动 G-Server. dll 和 G-Server-Hook. dll 并 自动 退出 。 

G-Server. dll 文件 可 实现 后 门 功能 ,与 客户 端 进 行 通信 ;G-Server-Hook. dll 则 通过 
拦截 API 调用 来 隐藏 病毒 。 因 此 ,用 户 在 中 毒 之 后 既 看 不 到 病毒 文件 ,也 看 不 到 病毒 注 
册 的 服务 项 , 随 着 “ 灰 饮 子 ” 服 务 器 端 文件 的 设置 不 同 ,G-Server-Hook. dll 有 时 会 附 在 
Explorer. exe 的 进程 空间 中 ,有 时 则 是 附 在 所 有 进程 中 。 

2.“ 灰 铅 子 ”的 手工 检测 

由 于 “ 灰 铭 子 " 拦 蕉 了 API 调用 ,在 正常 模式 下 服务 器 端 程序 文件 和 其 注册 的 服务 项 
均 被 隐藏 ,也 就 是 说 ,用 户 即使 设置 了 “显示 所 有 隐藏 文件 "也 看 不 到 它们 。 此 外 , 灰 饮 
子 ” 服 务 器 端的 文件 名 也 是 可 以 自 定义 的 ,这 都 给 手工 检测 带 来 了 一 定 的 困难 。 

但 仔细 观察 后 就 会 发 现 ,无 论 自 定义 的 服务 器 端 文件 名 是 什么 ,一般 都 会 在 操作 系统 
的 安装 目录 下 生成 一 个 以 “-hook. dll” 结 尾 的 文件 。 通 过 这 一 点 , 即 可 较为 准确 地 手工 检 
测 出 “ 灰 铝 子 ” 的 服务 器 端 。 

由 于 正常 模式 下 “ 灰 饮 子 ” 会 隐藏 自身 ,因此 检测 “ 灰 忽 子 ” 的 操作 一 定 要 在 安全 模式 
下 进行 。 
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操作 环境 
Windows Server 2003 操作 系统 。 
操作 步 又 


第 1 步 在 系统 启动 并 进入 Windows 启动 画面 前 , 按 F8 键 (或 在 启动 计算 机 时 按 住 
Ctrl 键 ) ,在 出 现 的 启动 选项 菜单 中 ,选择 Safe Mode 或 “安全 模式 ”启动 项 。 

第 2 步 由 于 “ 灰 鸟 子 ”的 文件 本 身 具 有 隐藏 属性 ,因此 ,要 设置 Windows 显示 所 有 
文件 。 在 “我 的 电脑 ”窗口 中 选择 “工具 ”一 “文件 夹 选项 "命令, 即 可 打开 “文件 夹 选项 ”对 
话 框 。 

第 3 步 在 “查看 "选项 卡 中 取消 选中 “隐藏 受 保护 的 操作 系统 文件 " 复 选 框 ,并 在 “ 隐 
藏 文件 和 文件 夹 ” 选 项 组 中 选中 “显示 所 有 文件 和 文件 夹 ”" 复 选 框 。 

第 4 步 打开 Windows 的 搜索 文件 功能 ,在 文件 名 称 框 中 输入 “x* _hook. dll”, 搜 索 
位 置 选择 Windows 的 安装 文件 夹 。 

第 5 步 单 击 “ 搜 索 ” 按 钮 , 即 可 在 Windows 文件 夹 下 发 现 “ 灰 饮 子 ”的 木马 程序 文 
件 , 如 Game_Hook. dll 文件 。 

第 6 步 根据 * 灰 馈 子 "原理 分 析 可 知 ,如 果 Game_Hook. dll 是 “ 灰 馈 子 " 的 文件 , 则 
在 操作 系统 安装 文件 夹 下 还 会 有 Game. exe 文件 和 Game. dll 文件 。 打 开 Windows 文件 
夹 , 可 查找 到 这 两 个 文件 ,同时 还 有 一 个 用 于 记录 键盘 操作 的 GameKey. dll 文件 。 

在 经 过 上 述 操作 之 后 ,基本 上 就 可 以 确定 这 些 文件 是 “ 灰 铅 子 " 服 务 器 端 程序 ,下 面 就 
可 以 对 其 进行 手动 清除 了 。 

清除 “ 灰 鲍 子 ”仍然 要 在 安全 模式 下 操作 ,主要 有 两 步 : 清除 “ 灰 饮 子 ” 的 服务 ;删除 
“ 灰 鲍 子 " 程 序 文件 。 清 除 “ 灰 馈 子 "的 服务 一 定 要 在 注册 表 里 完成 ,对 注册 表 不 熟悉 的 用 
户 请 找 熟 悉 的 朋友 帮忙 操作 。 清 除 “ 灰 铅 子 "的 服务 之 前 ,为 防止 操作 失误 而 引起 的 麻烦 ， 
一 定 要 先 备份 注册 表 ,或 者 到 纯 DoS 下 将 注册 表 文 件 更 名 之 后 ,再 去 注册 表 删 除 “ 灰 铅 
子 ” 的 服务 (因为 病毒 会 在 . exe 文件 中 进行 关联 ) 。 

清除 “ 灰 铭 子 ” 服 务 的 具体 操作 步骤 如 下 。 

第 7 步 在 注册 表 编 辑 中 ,展开 到 [HKEY_LOCAL_MACHINE\SYSTEM\ 
CurrentControlSer\ Setvices] 注 册 表 项 。 

第 8 步 ”选择 “编辑 ”~" 查 找 " 命 令 , 即 可 打开 “查找 ”对话 框 ,在 “查找 目标 ”文本 框 中 
输入 "game. exe”。 

第 9 步 ” 单 击 * 查 找 下 一 个 ”按钮 , 即 可 找到 “ 灰 鲍 子 " 的 服务 项 (此 例 为 Game_ 
Server) ,删除 整个 Game_Hook. dll 及 Gamekey. dll 文件 之 后 ,重新 启动 计算 机 即 可 。 至 
此 光 灰 钢 子 "服务 器 端 程序 就 被 彻底 清除 干净 了 。 

上 述 方法 适用 于 大 部 分 “ 灰 忽 子 ” 木 马 及 其 变种 ,但 仍 有 极 少 数 变种 采用 此 方法 无 法 
检测 和 清除 。 同 时 , 随 着 *“ 灰 鲍 子 ?新 版 本 的 不 断 推 出 ,手工 检测 和 清除 “ 灰 铅 子 ” 的 难度 也 
会 越 来 越 大 。 
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本 章 小 结 


黑客 是 指 那些 利用 计算 机 技术 及 其 他 手段 ,善意 或 恶意 地 进入 非 授权 范围 内 的 计算 
机 或 网 络 空间 的 人 。 

黑客 攻击 的 目的 主要 有 获取 目标 系统 的 非法 访问 、 获 取 所 需 资料 、. 自 改 有 关 数 据 及 利 
用 有 关 资 源 。 黑 客 的 攻击 手段 包括 特洛伊 木马 攻击 、Web 欺骗 .口令 攻击 .缓冲 区 溢出 、 
端口 扫描 攻击 等 几 种 主要 的 方法 。 对 常见 攻击 方法 的 了 解 , 将 有 助 于 用 户 达 到 有 效 防 黑 
的 目的 。 

掌握 常见 的 木马 程序 .扫描 工具 、 破 解 工具 ,炸弹 工具 及 安全 防御 工具 的 特点 和 使 用 
方法 ,做 好 相应 的 防 黑 措施 ,设置 强 有 力 的 安全 保障 体系 ,就 可 以 大 大 降低 被 黑客 攻击 的 


可 能 性 。 
本 章 练 习 
一 、 填空 题 
1. 通常 黑客 攻击 的 三 个 阶段 是 . 和 a 
2. 常见 的 黑客 攻击 方法 有 i 
3. 特洛伊 木马 是 一 种 黑客 程序 , 它 一 般 包括 两 个 程序 : 一 个 是 一个 
是 
4. 传播 木马 的 方式 主要 有 两 种 : 一 种 是 ; 另 一 种 是 
5. 扫描 工具 是 的 程序 。 
-、 选 择 题 
1. 如 果 每 次 打开 Word 程序 编辑 文档 时 ,计算 机 都 会 把 文档 传送 到 一 台 FTP 服务 
器 ,那么 可 以 怀疑 Word 程序 已 经 被 黑客 植 人 
A. 蠕虫 B，FTP 程序 C. 特洛伊 木马 D， 陷 门 
2. 以 下 网 络 攻击 中 ， 不 属于 主动 攻击 。 
A. 重 放 攻 击 B. 拒绝 服务 攻击 
C. 通信 量 分 析 攻 击 D. 假冒 攻击 


3. 有 一 种 攻击 是 不 断 对 网 络 服务 系统 进行 干扰 ,改变 其 正常 的 作业 流程 ,执行 无 关 
程序 使 系统 响应 减 慢 甚至 瘫痪 ,这 种 攻击 叫 作 s 


A. 重 放 攻 击 B. 反射 攻击 
C. 拒绝 服务 攻击 D. 服务 攻击 
4. 不 属于 防止 口令 猜测 的 措施 。 


A. 严格 限定 从 一 个 给 定 的 终端 进行 非法 认证 的 次 数 
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B. 确保 口令 不 在 终端 上 再 现 
C. 防止 用 户 使 用 太 短 的 口令 
D. 使 用 机 器 产生 的 口令 


5. 在 网 络 安全 中 ,截取 是 指 未 授权 的 实体 得 到 了 资源 的 访问 权 , 这 是 对 
A. 可 用 性 的 攻击 B. 完整 性 的 攻击 
C. 保密 性 的 攻击 D. 真实 性 的 攻击 

三 、 简 答题 

1. 什么 是 黑客 ? 

2. 黑客 攻击 的 目的 是 什么 ? 

3. 简 述 黑客 攻击 的 步骤 。 

4. 列举 一 些 黑客 攻击 所 采用 的 方法 ,并 做 简单 分 析 。 

5. 常见 的 木马 工具 有 哪些 ? 它们 是 怎样 运行 的 ? 

6. 在 使 用 计算 机 时 ,应 采取 哪些 防 黑 措施 ? 
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实 训 目的 


(1) 了 解 远程 控制 的 基本 原理 。 
(2) 熟悉 冰河 木马 的 功能 。 


实 训 环 境 


(1) 一 台 可 以 连 上 Internet 的 计算 机 。 
(2) Windows 2003/XP 操作 系统 。 


实 训 步 又 


第 1 步 ”安装 并 控制 远程 目标 。 

安装 冰河 木马 ,并 将 冰河 木马 服务 器 端 植 人 目标 计算 机 。 

第 2 步 ”跟踪 目标 。 

通过 服务 器 端 自动 跟踪 目标 机 屏幕 变化 同时 可 以 完全 模拟 键盘 及 鼠标 输入 , 即 在 同 
步 被 控 端 屏幕 变化 的 同时 ,监控 端的 一 切 键盘 及 鼠标 操作 将 反映 在 被 控 端 屏幕 上 (局 域 网 
适用 ) 。 

第 3 步 ” 记 录 各 种 口令 信息 。 

这 些 口令 信息 包括 开机 口令 .屏保 口令 、 各 种 共享 资源 口令 及 绝 大 多 数 在 对 话 框 中 出 
现 过 的 口令 信息 。 

第 4 步 ”获取 系统 信息 。 

这 些 系 统 信息 包 括 计 算 机 名 、 注 册 公 司 、 当 前 用 户 、 系 统 路 径 、 操 作 系 统 版 本 、 当 前 显 
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示 分 辨 率 物理 及 逻辑 磁盘 信息 等 多 项 系统 数据 。 

第 5 步 ” 远 程 文件 操作 。 

远程 文件 操作 包括 创建 上传 .下载 .复制 .删除 文件 或 目录 ,文件 压缩 ,快速 浏览 文本 
文件 .远程 打开 文件 等 多 项 文件 操作 功能 。 

第 6 步 ”注册 表 操作 。 

注册 表 操 作 包括 对 主键 的 浏览 增删、 复制. 重 命名 和 对 键 值 的 读 写 等 所 有 注册 表 操 
作 功 能 。 

以 4 种 常用 图 标 向 被 控 端 发 送 简短 信息 。 

第 8 步 ” 冰 河 木 马 的 清除 。 

(1) 冰河 控制 端 可 以 自动 印 载 。 

(2) 手动 清除 方法 : 删除 注册 表 中 Kernel32. exe 的 键 值 ;修改 相关 文本 文件 的 关联 ; 
在 DoS 模式 下 将 Sysexplr. exe 和 Kernel32. exe 的 隐藏 属性 改 为 只 读 , 然 后 删除 它们 。 


知识 目标 

。 了 解 HTTP 协议 .HTML 语言 。 

。 掌握 服务 器 的 安全 策略 。 

。 掌握 浏览 器 服务 器 的 安全 问题 。 
技能 目标 

。 能 够 对 服务 器 进行 基本 的 安全 配置 。 
。 能 够 对 浏览 器 进行 安全 配置 。 


Web 作为 Internet 的 一 项 重要 的 应 用 被 广泛 使 用 , 它 的 安全 性 是 必须 要 考虑 的 


9.1 Web 技术 简介 


万 维 网 (world wide web, WWW) 是 Internet 上 发 展 最 快 同 时 又 使 用 最 多 的 一 项 服 
务 , 它 可 以 提供 包括 文本 、 图 形 、 声 音 和 视频 等 在 内 的 多 媒体 信息 。 

WWW 起 源 于 1989 年 欧洲 粒子 物理 研究 所 (CERN)。 其 目的 是 收集 时 刻 变 化 的 报 
告 ,蓝图 ,绘制 图 、 照 片 和 其 他 文献 。 链 接 文档 的 Web 的 最 初 计划 是 由 CERN 的 物理 学 
家 Tim Bermers-Lee 于 1989 年 3 月 提出 的 ,第 一 个 原型 (基于 文本 的 ) 于 18 个 月 后 运行 。 
1991 年 12 月 在 得 克 萨 斯 州 的 圣安东尼奥 (San Antonio)91 超 文本 会 议 上 进行 了 一 次 公 
开演 示 ,次 年 继续 发 展 ,并 于 1993 年 2 月 ,在 第 一 个 图 形 界面 Mosaic 的 发 布 时 达到 了 其 
发 展 的 高 峰 。 到 今天 WWW 已 经 成 为 Internet 上 不 可 缺少 的 技术 。 


911 web 基础 知识 


WWW 由 遍布 Internet 中 的 被 称 为 WWW 服务 器 (又 称 为 Web 服务 器 ) 的 计算 机 组 
成 。Web 是 一 个 容纳 各 种 类 型 信息 的 集合 ,从 用 户 的 角度 看 ,WWW 由 庞大 的 、 世 界 范围 
的 文档 集合 而 成 ,简称 为 页 面 。 页 面具 有 严格 的 格式 ,页 面 是 用 超 文本 标识 语言 (hyper 
text markup language, HTML) 写 成 的 ,存放 在 Web 服务 器 上 。 每 一 页 面 可 以 包含 到 世 
界 上 任何 地 方 的 其 他 相关 页 面 的 超 链接 (hyperlink) .这 种 能 够 指向 其 他 页 面 的 页 称 为 超 
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文本 (hypertext)。 用 户 可 以 跟随 一 个 超 链 接 到 其 所 指向 的 其 他 页 面 ,并 且 这 一 过 程 可 以 
被 无 限制 的 重复 。 通 过 这 种 方法 可 浏览 无 数 的 互相 链接 的 信息 。 

用 户 使 用 浏览 器 总 是 从 访问 某 个 主页 开始 的 。 由 于 页 中 包含 了 超 链接 ,因此 可 以 指 
向 另外 的 页 ,这样 就 可 以 查看 大 量 的 信息 。 下 面 我 们 来 看 一 下 WWW 中 常用 的 一 些 术语 


1. HTML 


HTML 是 ISO 标准 8879 标准 通用 标识 语言 (standard generalized markup 
language,SGML) 在 WWW 上 的 应 用 。 所 谓 标识 语言 ,就 是 格式 化 的 语言 ,存在 于 
WWW 服务 上 的 页 ,就 是 用 HTML 描述 的 , 它 使 用 一 些 约定 的 标记 对 WWW 的 包括 文 
字 \ 声 音 、 图 像 . 视 频 等 各 种 信息 及 超级 链接 进行 描述 。 当 用 户 浏览 WWW 上 的 信息 时 ， 
浏览 器 会 自动 地 解释 这 些 标记 的 含义 ,并 将 其 显示 为 用 户 在 屏幕 上 所 看 到 的 网 页 。 

一 个 HTML 文本 包括 文件 头 (Head) ,文件 (Body) 主 体 两 部 分 ,其 结构 如 下 。 


<HIML> 
<HEARD> 


< /HEAD> 
< BODY> 


< /EoDY> 

< /HM> 

其 中 ,二 HTML> 表 示 页 的 开始 ,二 /HTML 表 示 页 的 结束 ,它们 是 成 对 使 用 的 。 
二 HEAD 二 表示 头 开 始 ,二 /HEAD 二 表示 头 结 束 ;二 BODY 二 表示 主体 开始 ,二 /BODY 二 表 
示 主 体 结束 ,它们 之 间 的 内 容 才 会 在 浏览 器 的 正文 中 显示 出 来 。HTML 的 标识 符 有 很 
多 ,可 以 查看 有 关 网 页 制作 方法 的 书籍 。 


2. 超 文本 传输 协议 


超 文 本 传输 协议 (hypertext transfer protocal, HTTP) 是 用 来 浏览 器 和 WWW 服务 
器 之 间 传 达 超 文本 的 协议 。HTTP 协议 由 两 个 相当 明显 的 项 组 成 : 从 浏览 器 到 服务 器 的 
请 求 集 和 从 服务 器 到 浏览 器 的 应 答 集 。HTTP 协议 是 一 种 面向 对 象 的 协议 ,为 了 保证 
WWW 客户 机 与 WWW 服务 器 之 间 通信 不 会 产生 二 义 性 ,HTTP 精确 定义 了 请 求 报 文 
和 响应 报 文 的 格式 。HTTP 会 话 过 程 包括 4 个 步骤 : 连接 .请 求 , 应 答 和 关闭 。 


3. 统一 资源 定位 器 


WWW 是 以 页 面 的 形式 来 组 织 信息 的 。 那 么 怎样 来 识别 不 同 的 页 面 , 怎 样 才能 知道 
页 面 在 哪个 位 置 ,以 及 如 何 访问 页 面 呢 ? 为 了 解决 这 个 问题 ,WWW 采用 了 统一 资源 定 
位 器 (uniform resource locator,URL) 的 方法 。 

URL 是 在 Internet 上 唯一 确定 资源 位 置 的 方法 ,其 基本 格式 为 : 
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协议 :// 主 机 域名 /资源 文件 名 


其 中 ,协议 (protocal) 用 来 指明 资源 类 型 ,除了 WWW 用 的 HTTP 协议 之 外 ,还 可 以 是 
FTP、Telnet 等 ;主机 域名 表示 资源 所 在 机 器 的 DNS 名 字 ; 资 源 文 件 名 用 以 提出 资源 在 所 
在 机 器 上 的 位 置 ,包含 路 径 和 文件 名 ,通常 是 “目录 名 /目录 名 /文件 名 ”, 也 可 以 不 含有 路 
径 。 例如 , 新浪 网 的 WWW 主页 的 URL 就 表示 为 http: //www. sina. com. cn/ 
index. htm 。 

在 输入 URL 时 ,资源 类 型 和 服务 器 地 址 不 分 字母 的 大 小 写 , 但 目录 和 文件 名 则 可 能 
区 分 字母 的 大 小 写 。 这 是 因为 大 多 数 服 务 器 安装 了 UNIX 操作 系统 ,而 UNIX 的 文件 系 
统 是 区 分 文件 名 的 大 小 写 的 。 


912 Web 服 务 器 


Internet 上 众多 的 Web 服务 器 汇集 了 大 量 的 信息 ,Web 服务 器 的 作用 就 是 管理 这 些 
文档 ,处 理 用 户 发 来 的 各 种 请 求 , 将 满足 用 户 要 求 的 信息 返回 给 用 户 。 

其 实 ,本 质 上 来 说 ,Web 服务 器 是 驻 留 在 服务 器 上 的 一 个 程序 ,通过 Web 浏览 器 与 
用 户 交互 操作 ,为 用 户 提供 相关 信息 。 


913 Web 浏 览 器 


Web 浏览 器 是 阅读 Web 上 信息 的 客户 端的 软件 。 如 果 用 户 在 本 地 机 器 上 安装 了 
Web 浏览 器 软件 ,就 可 以 读 取 Web 上 的 信息 了 。 

Web 浏览 器 在 网 络 上 与 Web 服务 器 打交道 ,从 服务 器 上 下 载 和 获取 文件 。Web 浏 
览 器 有 多 种 ,它们 都 可 以 浏览 Web 上 的 内 容 , 只 不 过 所 支持 的 协议 标准 及 功能 特性 各 有 
异同 罢了 。 绝 大 部 分 的 浏览 器 都 运用 了 图 形 用 户 界面 。 目 前 常用 的 有 Microsoft 
Internet Explorer Opera 和 Lynx 等 。 


9.2 Web 的 安全 风险 


921 Web 的 安全 体系 结构 


Web 的 安全 有 很 多 因素 需要 考虑 ,如 Web 服务 器 的 安全 、Web 服务 器 所 在 网 络 的 安 
全 、Web 浏览 器 无 束 用 户 的 安全 风险 等 。 

Web 的 安全 体系 结构 非常 复杂 ,具体 来 说 ,包括 以 下 几 个 方面 。 

(1) Web 浏览 器 软件 的 安全 。 

(2) Web 服务 器 上 Web 服务 器 软件 的 安全 。 

(3) 主机 系统 的 安全 。 

(4) 客户 端 局 域 网 的 安全 。 

(5) 服务 器 端 局 域 网 的 安全 。 

(6) Internet 的 安全 。 

所 有 以 上 因素 必须 考虑 在 内 ,才能 说 是 较 好 地 分 析 了 Web 系统 的 安全 性 。 
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922 Web 服 务 器 的 安全 风险 


现在 , 随 着 开放 系统 的 发 展 和 Internet 的 延伸 ,技术 间 的 交流 变 得 越 来 越 容易 ,同时 ， 
人 们 也 更 容易 获取 功能 强大 的 攻击 安全 系统 的 工具 软件 ;另外 ,由 于 人 才 流 动 频繁 ,掌握 
系统 安全 情况 的 有 关 人 员 可 能 会 成 为 无 关 人 员 ,从 而 使 得 系统 安全 秘密 扩散 的 成 为 可 能 。 

Web 服务 器 的 安全 风险 主要 来 自 以 下 几 个 方面 。 

(1) 能 否 保证 公布 信息 的 真实 、 完 

维护 公布 的 信息 的 真实 性 和 完整 性 是 Web 服务 器 最 基本 的 要 求 。Web 服务 器 在 一 
定 程度 上 是 站 点 拥有 者 的 代言 人 ,代表 拥有 者 的 形象 。 如 果 公布 的 信息 被 人 算 改 ,可 能 会 
使 得 信息 遭 到 破坏 ,无 法 真正 提供 信息 服务 ,甚至 会 导致 用 户 和 站 点 拥有 者 的 矛盾 或 者 影 
响 站 点 的 形象 。 

(2) Web 服务 能 否 安全 、 可 用 

由 于 系统 本 身 可 能 出 现 的 问题 及 他 人 恶意 的 破坏 ,可 能 会 造成 用 户 不 能 够 获得 Web 
服务 ,或 者 不 能 保证 Web 的 服务 确实 有 效 ; 另 外 ,需要 保证 所 提供 的 服务 是 可 信 的 ,尤其 
是 金融 或 者 电子 商务 的 站 点 。 

(3) 能 否 很 好 地 保证 Web 访问 者 的 隐私 

要 想 取得 用 户 的 信赖 ,放心 使 用 Web 服务 器 的 前 提 , 首 先 要 保护 Web 访问 者 的 隐 
私 。 服 务 器 上 一 般 保留 着 用 户 的 个 人 信息 ,如 用 户 IP 地 址 .电子 邮件 地 址 .所 用 计算 机 名 
称 、 单 位 名 称 、 计 算 机 简单 说 明 、 所 访问 页 面 内 容 \ 访 问 时 间 ,传输 数据 量 ,甚至 个 人 的 信用 
卡号 码 等 信息 。 一 般 情况 下 ,用 户 不 希望 自己 的 隐私 被 别人 发 现 甚至 利用 。 

(4) Web 服务 器 可 能 会 被 入 侵 者 作为 “跳板 ”使 用 

这 是 Web 服务 器 最 基本 的 要 求 。 是 服务 器 保护 自己 和 Web 浏览 器 用 户 的 最 基本 的 
条 件 。 但 常 有 非法 入 侵 者 将 Web 服务 器 作为 “跳板 ”使 用 来 进一步 侵入 内 部 网 络 或 进 一 
步 危害 其 他 网 络 。 


923 web 浏览 器 的 安全 风险 


Web 浏览 器 为 用 户 提供 了 一 个 功能 强大 、 简 单 实用 的 图 形 化 的 界面 ,使 用 户 不 必 经 
过 专业 化 训练 就 可 轻松 自如 地 在 网 络 的 海洋 里 冲浪 。 它 是 目前 网 络 上 应 用 得 最 多 的 工具 
之 一 。 但 使 用 Web 浏览 器 获取 信息 时 ,也 是 有 安全 风险 的 ,主要 有 以 下 几 个 方面 。 

(1) 运行 浏览 器 的 系统 可 能 会 被 病毒 或 者 其 他 恶意 程序 侵害 而 遭受 破坏 。 

(2) 个 人 信息 可 能 会 外 汇 。 

(3) 不 能 确保 所 交互 的 站 点 的 真实 性 ,用 户 可 能 会 受骗 ,受到 损失 。 

例如 , 某 浏 览 器 的 用 户 轻 点 鼠标 , 想 要 看 看 新 闻 , 查 找 一 下 资料 ,浏览 一 下 某 公司 的 主 
页 , 当 一 张 张 精 彩 的 网 页 出 现在 计算 机 屏幕 上 时 ,同时 ,浏览 器 程序 可 能 已 经 把 某 些 信息 
传送 给 网 络 上 的 某 一 人 台 计 算 机 ,这 人 台 计 算 机 可 能 在 世界 的 另 一 个 角落 ,网 页 通过 网 络 传 到 
浏览 器 计算 机 中 的 时 候 , 传 来 的 内 容 有 的 是 浏览 器 用 户 需要 的 、 能 够 看 到 的 ,但 是 同时 还 
有 浏览 器 不 能 显示 的 内 容 , 悄 悄 地 存 入 浏览 器 计算 机 的 硬盘 上 ,这 些 不 显示 的 内 容 , 可 能 
是 协议 工作 内 容 , 对 用 户 是 透明 的 ,但 是 也 可 能 是 恶作剧 代码 :或 者 是 蓄意 破坏 的 代码 , 它 
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们 会 窃取 Web 浏览 器 用 户 的 计算 机 上 的 所 有 可 能 的 隐私 ,也 可 能 破坏 计算 机 的 设备 ,不 
可 能 使 得 用 户 在 上 网 时 误 入 歧途 。 因 此 ,Web 浏览 器 也 是 有 安全 风险 的 。 


9.3 Web 浏览 器 的 安全 


如 果 所 有 的 网 络 用 户 都 能 够 安 分 地 使 用 网 络 这 个 美好 的 工具 ,那么 Web 浏览 器 用 户 
就 没有 什么 可 以 担忧 的 了 ,但 非常 不 幸 的 是 ,网 络 世 界 是 良 劳 不 齐 、 复 杂 多 样 的 ,可 能 随时 
会 受到 恶意 的 攻击 甚至 被 毁坏 。 


931 浏览 器 本 身 的 漏洞 


浏览 器 的 功能 越 来 越 强大 ,但 是 由 于 程序 结构 的 复杂 ,在 堵 住 了 旧 的 漏洞 的 同时 ,可 
能 又 出 现 了 新 的 漏洞 。 浏 览 器 的 安全 漏洞 可 能 让 攻击 者 获取 磁盘 信息 ,安全 口令 ,甚至 破 
坏 磁 盘 文 件 系 统 等 。 下 面 举 出 两 个 已 知 的 浏览 器 安全 漏洞 。 


1. UNIX 下 Lynx 的 安全 漏洞 


在 Lynx 的 2.7.1 版 本 之 前 都 存在 安全 漏洞 ,只 要 做 一 个 包含 backtick 字符 的 
LynxDownLoadURL, 它 就 允许 Web 创建 者 在 用 户 的 机 器 上 执行 任意 命令 。 解 决 这 个 问 
题 的 方法 是 升级 Lynx 的 版 本 。 


2. Microsoft Internet Explorer 的 安全 威胁 


在 这 个 浏览 器 中 存在 着 许多 安全 威胁 。 

(1) 远程 执行 代码 漏洞 

在 Microsoft Internet Explorer 8. 0 或 9.0 版 本 ,Internet Explorer 访问 内 存 中 已 被 
删除 或 尚未 正确 分 配 的 对 象 的 方式 中 存在 一 个 远程 执行 代码 漏洞 。 该 漏洞 可 能 以 一 种 允 
许 攻 击 者 在 Internet Explorer 中 的 当前 用 户 的 上 下 文中 执行 任意 代码 的 方式 损坏 内 存 。 
攻击 者 可 能 拥有 一 个 旨 在 通过 Internet Explorer 利用 此 漏洞 的 特制 网 站 ,然后 诱 使 用 户 
查看 该 网 站 。 解 决 的 方法 就 是 安装 补丁 程序 或 者 升级 浏览 器 版 本 。 

(2) 拒绝 服务 漏洞 

Microsoft Internet Explorer 8. 0 处 理 恶意 脚本 代码 存在 问题 ,远程 攻击 者 可 以 利用 
漏洞 使 应 用 程序 崩溃 。 通 过 构建 恶意 Web 页 , 诱 使 用 户 访问 可 触发 此 漏洞 。 

(3) 地 址 栏 URI 欺骗 漏洞 

在 Microsoft Internet Explorer 8. 0 或 9. 0 版 本 代理 服务 设置 中 ,如 果 HTTP 和 
Secure 栏 中 具有 相同 代理 地 址 和 端口 ,IE 没有 确保 SSL 锁定 图 标 与 地 址 栏 一 致 ,通过 特 
制 的 HTML 文档 触发 多 个 任意 主机 的 HTTPS 请 求 , 随 后 提交 一 个 可 信 主 机 的 HTTPS 
请 求 ,再 向 不 可 信 主 机 发 送 一 个 HTTP 请 求 , 可 欺骗 Web 站 点 。 
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(4) Singapore 隐私 漏洞 

它 允 许 一 个 网 络 黑客 监视 用 户 在 Web 上 的 活动 。 使 用 最 新 版 本 的 浏览 器 可 以 避免 
这 个 漏洞 。 

当然 ,可 能 有 许多 的 漏洞 还 没 发 现 。 


932 Web 页 面 中 的 恶意 代码 


由 于 某 些 动态 页 面 以 来 源 不 可 信 的 用 户 输入 的 数据 为 参数 生成 页 面 , 所 以 Web 页 面 
中 可 能 会 不 经 意 地 包含 一 些 恶意 的 脚本 程序 等 。 如 果 Web 服务 器 不 对 此 进行 处 理 , 那 么 
很 可 能 对 Web 服务 器 和 浏览 器 用 户 两 方面 都 带 来 安全 威胁 。 即 使 采用 SSL 来 保护 传 
输 , 也 不 能 阻止 这 些 恶 意 代码 的 传输 。 


933 web 欺骗 
由 于 Internet 上 Web 网 页 容易 复制 的 特点 ,使 得 Web 欺骗 变 得 简单 。 
1. 欺骗 攻击 


所 谓 欺 骗 攻 击 ,就 是 指 攻击 者 通过 伪造 一 些 容易 引起 错觉 的 文件 .音像 或 者 其 他 场景 
来 诱导 受骗 者 做 出 错误 的 与 安全 有 关 的 决策 。 在 网 络 虚拟 的 世界 里 ,同样 存在 被 骗 的 受 
害 者 。Web 欺骗 就 是 一 种 网 络 欺 骗 ,攻击 者 构建 的 虚假 网 站 看 起 来 就 像 真实 站 点 ,具有 
同样 的 连接 ,同样 的 页 面 .而 实际 上 ,被 欺骗 的 所 有 浏览 器 用 户 与 这 些 伪 装 的 页 面 的 交互 
过 程 都 受到 攻击 者 控制 。 


2. Web 欺骗 攻击 的 原理 


Web 欺骗 攻击 成 功 的 关键 在 于 攻击 者 的 伪 服 务 器 必须 位 于 受骗 用 户 到 目标 Web 服 
务 的 必 经 的 路 径 上 。 

攻击 者 首先 在 某 些 Web 网 页 上 改写 所 有 与 目标 Web 站 点 有 关 的 链接 ,使 得 不 能 指 
向 真正 的 Web 服务 器 ,而 是 指向 攻击 者 的 伪 服 务 器 。 当 用 户 单 击 这 些 链接 时 ,首先 指向 
了 擅 服 务 器 ,攻击 者 向 真正 的 服务 器 索取 用 户 的 所 需 界面 。 当 获得 目标 Web 送 来 的 页 面 
后 , 伪 服务 器 改写 链接 并 加 入 伪装 代码 , 送 给 被 欺骗 的 浏览 器 用 户 。 


3. 对 策 


Web 欺骗 攻击 的 危害 大 ,上 当 的 用 户 可 能 会 不 知 不 觉 泄露 机 密 信 息 , 还 可 能 受到 经 
济 损失 。 为 确保 安全 ,用 户 可 以 采取 的 措施 如 下 。 

(1) 尽量 避免 非 有 不 可 的 浏览 器 的 JavaScript、ActiveX 和 Java 选项 。 

(2) 充分 利用 浏览 器 的 提示 信息 。 

(3) 进入 SSL 安全 链接 时 ,仔细 查看 站 点 的 证 书 是 否 与 其 所 声称 的 一 致 , 不 要 被 相似 
的 字符 欺骗 。 
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案例 分 析 
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在 IE 浏览 器 中 ,有 一 些 安全 设置 的 功能 ,根据 安全 需求 正确 地 进行 设置 ,可 以 帮助 我 


们 提高 浏览 网 页 时 的 安全 性 。 
操作 环境 


(1) 一 台 连 上 Internet 的 计算 机 。 
(2) IE 8.0 浏览 器 。 


操作 步 又 
第 1 步 ”Web 浏览 器 的 安全 设置 。 


(1) 打开 IE 8.0 浏览 器 ,在 “工具 ”菜单 中 选择 “Internet 选项 ”命令 ,打开 “安全 ”选项 


卡 , 如 图 9.1 所 示 。 


(2) 单 击 “ 自 定义 级 别 ” 按 钮 ,弹出 “安全 设置 -Internet 区 域 ”" 对 话 框 ,如 图 9.2 


Internet 属性 


这 择 要 查看 的 区 域 或 更 安全 设置 


Internet 
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图 9.1 “安全 "选项 卡 
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重 置 为 加 ): | 中 -高 俱 认 ) 


图 9.2 


“安全 设置 ”对话 框 


(3) 在 “ 重 置 自 定义 设置 ?选项 值 中 的 “ 重 置 为 ”下拉 列表 中 选择 需要 更 改 的 安全 级 
别 , 然 后 单 击 “ 重 置 ”按钮 ,弹出 “警告 1 ”对话 框 ,如 图 9.3 所 示 。 单 击 “ 是 ”按钮 ,就 重 置 了 


安全 设置 。 
第 2 步 


IE 浏览 器 中 的 ActiveX 设置 。 


ol 计算 机 网 络 安全 技术 案例 教程 ] 


图 9.3 “警告 !” 对 话 框 
第 3 步 定期 清除 用 户 信 息 。 
(1) 单 击 “Internet 选项 ”对 话 框 “内容 ”选项 卡 , 如 图 9.4 所 示 , 单 击 “ 自 动 完成 ” 选 
项 组 的 "设置 按钮。 
(2) 打开 “自动 完成 设置 "对话 框 ,选中 “自动 完成 功能 应 用 于 ”选项 组 中 的 “表单 ” 复 
选 框 ,如 图 9.5 所 示 。 


Internet 属性 

售 规 | 安全 | 隐私 | 内容 [连接 | 程序 | 高 级 | 

内 容 审查 程序 

© 人 Internet 内 


Ws 
使 用 加 密 连 接 和 标识 的 证 书 。 


“自动 完成 ”会 列 出 与 以 前 键入 或 访问 的 条 目 可 能 匹配 
EE 


[清除 SSL 状态 @E) 证 $3© } 


时 成 自动 克成 功能 应 用 于 
总 。 吴 吾 则 直 人 风 5 


源 和 网 页 快讯 
Rs 


使 用 Windons 搜索 获得 更 好 的 结果 中 ) 
口 表单 全 

回 表 单 上 的 用 户 名 和 密码 人) 

器 在 保存 密码 之 前 询问 我 @) 


Internet 
读 职 | 


的 网 站 


图 9.5 “自动 完成 设置 "对 话 杠 


图 9.4 “内 容 ” 选 项 卡 


(3) 单 击 “ 删 除 自动 完成 历史 记录 ”按钮 可 以 清除 历史 记录 。 

第 4 步 对 IE 中 数据 执行 保护 设置 。 

(1) 右 击 “ 我 的 电脑 ”, 在 弹出 的 快捷 菜单 中 选择 “属性 ”菜单 ,打开 “系统 属性 ”对 话 
框 ,如 图 9.6 所 示 , 选 择 “ 高 级 ”选项 卡 。 

(2) 单 击 “ 性 能 ”区 域 中 的 “设置 ”按钮 ,打开 “性 能 选项 ”对 话 框 ,打开 “数据 执行 保护 ” 
选项 卡 , 如 图 9.7 所 示 , 单 击 “ 应 用 ”按钮 ,保存 即 可 。 


第 5 步 分 级 审查 。 
(1) 打开 “Internet 属性 ”对 话 框 的 内容” 选项 卡 , 如 图 9.8 所 示 。 


(2) 在 “内 容 审查 程序 ”选项 组 中 单 击 “ 启 用 ”按钮 。 


常规 |[ 计 算 机 名 | 硬件 | 高 级 [自动 更 新 | 远程 | 视觉 效果 上 | 高 骸 | 数据 执行 保护 
要 进行 大 多 数 改动 ， 悠 必 须 作为 管理 员 和 登录 。 


性能 _ 二 数据 执行 保护 DEEP) 帮助 保护 则 到 病毒 或 其 他 实 
视 芝 效果， 处 理 吕 计划 ， 内 存 使 用 ， 以 及 虚拟 内 存 EE 
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图 9.6 “系统 属性 ”对 话 框 
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图 9.8 “内 容 " 选 项 卡 


(3) 在 弹出 的 “内 容 审 查 程 序 ” 对 话 框 中 ,如 图 9.9 所 示 , 打 开 “ 分 级 ”选项 卡 ,将 调整 
分 级 级 别 的 滑 块 调 到 最 低 , 也 就 是 零 。 

(4) 打开 “许可 站 点 ”选项 卡 , 如 图 9. 10 所 示 , 在 “允许 该 网 站 ”文本 框 中 添加 网 站 。 

(5) 打开 “常规 ”选项 卡 , 如 图 9. 11 所 示 , 单 击 “ 创 建 密码 ”按钮 ,打开 “创建 监护 人 密 
码 ” 对 话 框 ,在 此 创建 监护 人 密码 ,如 图 9.12 所 示 。 


内 容 审查 程序 


内 容 审查 程序 
分 级 [许可 站 点 | 第 规 | 高 级 | 分 朗 | 许可 站 点 [常规 [高 级 | 
请 选择 类别 ,查看 分 级 级 别 GE) 
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| 任何 时 候 都 个 能 查看 。 
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图 9.11 “常规 ?选项 卡 


9.4 ”Web 服务 器 的 安全 策略 
941 制定 安全 策略 
1. 定制 安全 政策 


无 论 多 么 优秀 的 系统 ,必须 有 人 的 安全 管理 和 合法 地 使 用 ,否则 就 没有 安全 可 言 。 安 
全 政策 包括 以 下 几 个 方面 。 
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(1) 定义 安全 资源 ,进行 重要 等 级 划分 

这 是 为 了 从 全 局 的 观点 制定 安全 策略 。 它 是 一 顶 具体 的 工作 ,不 同 单位 .不 同 的 管理 
层 对 安全 资源 的 定义 各 不 相同 。 

(2) 进行 安全 风险 评估 

安全 风险 评估 是 权衡 考虑 各 类 安全 资源 的 价值 和 对 它们 保护 所 需要 的 费用 ,尽量 以 
适当 的 开销 获得 满意 的 安全 保障 。 很 明显 ,个 人 娱乐 站 点 的 安全 投资 要 比 网 上 银行 站 点 
的 安全 投资 少 得 多 。 

(3) 制定 安全 策略 的 基本 原则 

在 安全 资源 的 等 级 划分 和 风险 评估 的 基础 上 ,制定 安全 策略 的 基本 原则 。 每 个 站 点 
的 基本 策略 都 是 独一无二 的 , 它 为 该 站 点 定义 预期 的 安全 级 别 , 就 是 说 ,该 站 点 如 何 规划 
安全 性 。 

(4) 建立 安全 培训 制度 

为 增加 单位 员工 的 安全 认识 ,从 人 为 的 角度 尽量 避免 安全 问题 的 发 生 , 要 建立 安全 培 
训 制 度 。 

(5) 具有 意外 事件 处 理 措施 

安全 是 相对 的 ,不 是 绝对 的 。 所 以 ,必须 明确 无 论 安全 措施 如 何 完备 ,如 何 具体 ,还 是 
有 可 能 出 现 意外 的 安全 问题 ,所 以 必须 有 相应 的 意外 事件 处 理 和 补救 的 措施 。 


2. 认真 组 织 Web 服务 器 


服务 器 的 安全 策略 有 很 多 内 容 。 这 里 简单 说 明 几 个 重要 的 内 容 。 
@ 选择 好 合适 的 Web 服务 器 设备 和 相关 软件 。 
@ 提供 静态 页 面 和 多 种 动态 页 面 的 能 力 。 
@ 接受 和 处 理 用 户 信 息 的 能 力 。 
@ 提供 站 点 搜索 服务 的 能 力 。 
@ 远程 管理 的 能 力 。 
而 关于 安全 方面 的 要 求 如 下 。 
Qa 在 已 知 的 Web 服务 器 漏洞 中 ,针对 该 类 型 的 最 少 。 
@ 对 服务 器 的 管理 操作 只 能 由 授权 用 户 执 行 。 
@ 拒绝 通过 Web 访问 不 公开 的 信息 。 
@ 能 够 禁止 内 嵌 的 不 必要 的 网 络 服务 。 
@@ 能 够 控制 各 种 形式 的 可 执行 程序 的 访问 。 
@ 能 够 具有 一 定 的 容错 性 。 
@ 能 对 某 些 Web 操作 进行 日 志 记录 .便于 执行 人 侵 监测 和 入 侵 企图 分 析 。 
(1) 仔细 配置 Web 服务 器 
因为 服务 器 的 重要 性 ,在 它 的 配置 上 ,一 定 要 仔细 ,采用 如 下 方法 。 
加 将 服务 器 与 内 部 网 隔离 开 。Web 服务 器 被 人 侵 的 时 候 , 会 造成 Web 服务 器 系统 
被 破坏 甚至 崩溃 ;入 侵 者 收集 如 用 户 名 口令 等 信息 ;入 侵 者 借助 人 侵 的 服务 器 为 基础 , 进 
一 步 破坏 其 他 网 络 等 危害 。 
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@ 做 好 安全 的 Web 站 点 的 备份 。 备 份 系统 是 系统 管理 员 必 须 做 的 一 件 事 。 通 常 ， 
Web 服务 器 都 采用 多 台 备 份 机 器 在 服务 。 但 是 要 保证 备份 的 内 容 是 真实 、 可 靠 和 备份 存 
储 的 地 方 是 可 靠 .安全 的 。 

@ 合理 配置 主机 系统 。 主 机 的 操作 系统 是 Web 的 平台 ,合理 地 配置 主机 系统 ,能 够 
为 Web 服务 器 提供 强大 的 安全 支持 。 主 要 考虑 仅仅 提供 必要 的 服务 和 使 用 必要 的 辅助 
工具 。 

@ 合理 配置 Web 服务 器 软件 。 

(2) Web 服务 器 的 安全 管理 

Web 服务 器 的 相关 内 容 要 认真 组 织 , 其 内 容 主 要 包括 以 下 几 个 方面 。 

@ 更 新 Web 服务 器 内 容 尽量 采用 安全 方式 ,比如 , 尽 可 能 避免 网 络 更 新 ,而 是 采用 
本 地 方式 。 

@ 经 常 审查 有 关 日 志 。 

@ 进行 必要 的 数据 备份 。 

备份 是 对 付 任 何 意 外 事故 的 保留 方法 ,是 系统 最 后 的 安全 防线 。 

@ 定期 对 Web 服务 器 进行 安全 检查 。 

安全 检查 的 目的 是 为 了 及 时 发 现 Web 服务 器 系统 的 安全 缺陷 和 及 时 发 现 人 侵 痕 迹 。 


3. 了 解 最 新 的 安全 指南 


了 解 最 新 的 安全 指南 很 重要 ,主要 目的 有 以 下 几 点 。 

@ 及 时 更 新 系统 软件 和 应 用 软件 的 版 本 ,避免 已 存在 漏洞 的 软件 仍旧 在 使 用 。 

@ 了解 最 新 发 现 的 安全 漏洞 和 新 的 攻击 工具 的 特点 ,以 便 做 好 预防 工作 。 

@ 了解, 掌握 最 新 的 安全 保护 技术 和 工具 。 

@ 修订 原来 的 安全 策略 ,引进 必要 的 安全 工具 。 

每 个 网 站 的 安全 需求 不 同 ,受到 攻击 的 几率 和 手段 都 不 相同 ,因此 ,在 实践 中 系统 的 
安全 工作 要 结合 系统 本 身 的 特点 来 进行 。 


942 Web 服 务 器 安全 应 用 
1. 正确 安装 Windows Server 2003 


(1) 分 区 和 逻辑 盘 的 分 配 

推荐 的 安全 配置 是 建立 3 个 逻辑 驱动 器 ,第 一 个 大 于 2GB, 用 来 存放 系统 和 重要 的 日 
志文 件 , 第 二 个 安装 IIS, 第 三 个 安装 FTP, 这 样 无 论 IIS 或 FTP 出 了 安全 漏洞 都 不 会 直 
接 影响 到 系统 目录 和 系统 文件 。 要 知道 ,IIS 和 FTP 是 对 外 服务 的 ,比较 容易 出 问题 。 而 
把 IIS 和 FTP 分 开 主要 是 为 了 防止 入 侵 者 上 传 程序 并 从 IIS 中 运行 。 

(2) 安装 顺序 的 选择 

Windows Server 2003 在 安装 中 需要 注意 以 下 两 点 。 

| 何 时 接 人 网 络 。Windows Server 2003 在 安装 时 有 一 个 漏洞 ,在 输入 Administrator 
密码 后 ,系统 就 建立 了 ADMIN $ 的 共享 ,但 是 并 没有 用 刚刚 输入 的 密码 来 保护 它 , 这 种 
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情况 一 直 持 续 到 再 次 启动 后 ,在 此 期 间 , 任 何人 都 可 以 通过 ADMINS$ 进入 你 的 机 器 ; 
同时 ,只 要 安装 一 完成 ,各 种 服务 就 会 自动 运行 ,而 这 时 的 服务 器 是 满 身 漏洞 ,非常 容 
易 进 入 的 ,因此 ,在 完全 安装 并 配置 好 Windows Server 2003 之 前 ,一 定 不 要 把 主机 接 人 
网 络 。 

@ 补丁 的 安装 。 补 丁 的 安装 应 该 在 所 有 应 用 程序 安装 完 之 后 ,因为 补丁 程序 往往 要 
替换 /修改 某 些 系统 文件 ,如 果 先 安装 补丁 再 安装 应 用 程序 有 可 能 导致 补丁 不 能 起 到 应 有 
的 效果 ,例如 ,IIS 的 HotFix 就 要 求 每 次 更 改 IIS 的 配置 都 需要 安装 。 


2. 安全 配置 Windows Server 2003 


即使 正确 地 安装 了 Windows Server 2003 ,系统 还 是 有 很 多 漏洞 ,还 需要 进一步 进行 
细致 的 配置 。 

(1) 端口 。 端 口 是 计 算 机 和 外 部 网 络 相连 的 逻辑 接口 ,也 是 计算 机 的 第 一 道 屏障 , 端 
口 配置 正确 与 否 直接 影响 到 主机 的 安全 ,一般 来 说 , 仅 打开 需要 使 用 的 端口 会 比较 安全 ， 
配置 的 方法 是 在 网 卡 属性 TCP/IP 一 高 级 习 选 项 一 TCP/IP 筛选 中 启用 TCP/IP 筛选 ， 
不 过 对 于 Windows Server 2003 的 端口 过 滤 来 说 ,有 一 个 不 好 的 特性 : 只 能 规定 打开 哪些 
端口 ,不 能 规定 关闭 哪些 端口 ,这 样 对 于 需要 开 大 量 端 口 的 用 户 就 不 太 方便 。 

(2) IIS。IIS 是 微软 的 组 件 中 漏洞 最 多 的 一 个 ,平均 两 三 个 月 就 要 出 一 个 漏洞 ,而 微 
软 的 IIS 默认 安装 又 不 安全 ,所 以 IIS 的 配置 是 重点 。 

首先 ,把 C 盘 那 个 Inetpub 目录 彻底 删 掉 ,在 DD 盘 新 建 一 个 Inetpub, 也 可 以 给 目录 改 
一 个 名 字 , 但 是 自己 要 记得 ,在 IIS 管理 器 中 将 主 目录 指向 D: \Inetpub。 

其 次 ,将 IIS 安装 时 默认 的 Scripts 等 虚拟 目录 一 概 删除 ,如 果 需 要 什么 权限 的 目录 
可 以 以 后 慢 慢 建 , 需 要 什么 权限 即 开放 什么 权限 。 


3. 账号 安全 


Windows Server 2003 的 账号 安全 是 另 一 个 重点 ,首先 , Windows Server 2003 的 默 
认 安 装 ,允许 任何 用 户 通过 空 用 户 得 到 系统 所 有 账号 /共享 列表 ,这 个 本 来 是 为 了 方便 局 
域 网 用 户 共享 文件 的 ,但 是 一 个 远程 用 户 也 可 以 得 到 用 户 列表 并 使 用 暴力 法 破解 用 户 密 
码 。Windows Server 2003 的 本 地 安全 策略 (如 果 是 域 服务 器 就 是 在 域 服务 器 安全 和 域 
安全 策略 中 ) 有 这 样 的 选项 RestrictAnonymous( 匿 名 连接 的 额外 限制 ) ,这 个 选项 有 如 下 
3 个 值 。 

0: None. Rely on default permissions( 无 ,取决 于 默认 的 权限 ) 。 

1: Do not allow enumeration of SAM accounts and shares( 不 允许 枚 举 SAM 账户 和 


2: No access without explicit anonymous permissions( 没 有 显 式 匿名 权限 就 不 允许 
访问 ) 。 

值 0 这 个 值 是 系统 默认 的 ,什么 限制 都 没有 :远程 用 户 可 以 知道 你 机 器 上 所 有 的 账 
户 、. 组 信息 .共享 目录 、 网 络 传输 列表 (NetServerTransportEnum) 等 ,对 服务 器 来 说 这 样 
的 设置 非常 危险 。 


| Ce [人] 


值 1 只 允许 非 NULL 用 户 存 取 SAM 账户 信息 和 共享 信息 。 

值 2 在 Windows Server 2003 中 才 支 持 的 ,推荐 设 为 1 比较 好 。 

这 样 ,入 侵 者 现在 没有 办 法 拿 到 用 户 列表 ,应 该 说 账户 安全 了 。 另 外 ,为 了 安全 还 要 
将 系统 内 建 的 Administrator 改名 。 


4. 设置 好 安全 策略 
设置 策略 和 设置 方法 可 参照 操作 系统 安全 这 一 部 分 的 内 容 。 
5. 目录 和 文件 权限 


为 了 控制 好 服务 器 上 用 户 的 权限 ,同时 也 为 了 预防 以 后 可 能 的 入侵 和 溢出 ,还 必须 非 
常 小 心地 设置 目录 和 文件 的 访问 权限 。 

实际 上 ,Web 的 安全 和 应 用 在 很 多 时 候 是 矛盾 的 ,因此 ,需要 在 其 中 找到 平衡 点 , 毕 
竟 服 务 器 是 给 用 户 使 用 的 ,如 果 安 全 原则 妨碍 了 系统 应 用 ,那么 这 个 安全 原则 也 不 是 一 个 
好 的 原则 。 

网 络 安全 是 一 项 系统 工程 , 它 不 仅 有 空间 的 跨度 ,还 有 时 间 的 跨度 。 很 多 用 户 ( 包 括 
部 分 系统 管理 员 ) 认 为 进行 了 安全 配置 的 主机 就 是 安全 的 ,其 实 这 其 中 有 个 误区 : 我 们 只 
能 说 一 台 主机 在 一 定 的 情况 一 定 的 时 间 上 是 安全 的 , 随 着 网 络 结构 的 变化 、 新 的 漏洞 的 发 
现 ,管理 员 / 用 户 的 操作 ,主机 的 安全 状况 是 随时 随地 变化 着 的 ,只 有 让 安全 意识 和 安全 制 
度 贯穿 整个 过 程 才能 做 到 真正 的 安全 。 


<D> | 【条例 】 Web 服务 器 安全 配置 


案例 分 析 


Web 服务 器 创建 好 ,还 需要 进行 适当 的 管理 才能 使 用 户 的 信息 安全 、 有 效 地 被 其 他 
访问 者 访问 。 


操作 环境 
安装 了 Windows Server 2003 操作 系统 的 服务 器 。 
操作 步骤 


第 1 步 启用 过 期 内 容 。 

启用 过 期 内 容 就 是 指 通 过 设置 来 保证 自己 站 点 的 过 期 信息 不 被 发 布 出 去 。 

(1) 选择 "HTTP 头 ” 选 项 卡 , 如 图 9. 13 所 示 。 在 该 选项 卡 中 ,选中 “启用 内 容 过 期 ” 
复 选 框 ,激活 “启用 内 容 过 期 "选项 区 域 中 的 选项 。 

(2) 在 “启用 内 容 过 期 "选项 区 域 中 ,用 户 可 以 设置 内 容 的 过 期 时 间 。 

第 2 步 ”内 容 分 级 设置 。 

如 果 用 户 站 点 的 内 容 并 不 是 针对 所 有 的 访问 者 ,需要 进行 内 容 分 级 设置 ,以 防止 不 具 
备 分 级 要 求 的 其 他 访问 者 查看 站 点 内 容 。 在 预 设 的 情况 下 , Windows Server 2003 启用 
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的 是 RSAC(Recreational Software Advisory Council) 分 级 服务 系统 进行 分 级 服务 。 该 
Internet 分 级 是 斯 坦 福 大 学 的 Donald F. Roberts 博士 研究 的 , 它 主要 针对 暴力 、 性、 裸体 
和 语言 4 个 方面 进行 分 级 设置 。 在 设置 分 级 服务 内 容 之 前 ,用 户 需要 上 网 填写 一 个 
RSAC 分 级 问卷 ,以 获得 一 些 推荐 的 内 容 分 级 ,以 便 更 好 地 进行 分 级 设置 。 分 级 内 容 设置 
过 程 如 下 。 

(1) 在 图 9. 13 中 , 单 击 “ 编 辑 分 级 "按钮 ,打开 “内 容 分 级 ”对 话 框 ,如 图 9. 14 所 示 。 


图 9.14 “内 容 分 级 "对 话 框 


(2) 对 RSAC 系统 有 所 了 解 之 后 ,用 户 就 可 以 设置 分 级 服务 的 内 容 , 以 过 滤 公 司 的 
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Web 页 的 内 容 。 单 击 “ 分 级 "选项 卡 , 并 选择 * 对 此 内 容 启 用 分 级 ” 复 选 框 , 如 图 9. 15 
所 示 。 


图 9.15 “分 级 ”选项 卡 


(3) 在 “类 别 ? 列 表 框 中 ,选择 暴力 ,性 .裸体 和 语言 4 个 类 别 中 的 一 种 ,分 级 滑 块 就 会 
显示 出 来 ,调节 该 滑 块 ,可 改变 所 选 类 别 的 分 级 级 别 。 

(4) 如 果 和 希望 对 自己 的 电子 邮件 进行 分 级 服务 ,用 户 可 以 在 “内 容 分 级 人 员 的 电子 邮 
件 地 址 ”文本 框 中 输入 自己 的 电子 邮件 地 址 。 

(5) 如 果 希 望 单独 为 分 级 服务 设置 失效 时 间 , 可 单 击 “ 过 期 日 期 "下 拉 列 表 框 中 的 下 
三 角 按钮 ,从 弹出 的 电子 日 历 中 选择 一 个 日 期 。 

(6) 设置 好 之 后 , 单 击 “ 确 定 ” 按 钮 返回 “默认 网 站 属性 ”对 话 框 ,再 单 击 “确定 ”按钮 ， 
保存 设置 。 

第 3 步 添加 网 页 页 脚 。 

在 Web 站 点 管理 中 ,用 户 经 常 在 每 一 个 Web 页 的 前 面 插入 一 个 由 HTML 语言 编写 
的 脚本 文件 ,作为 网 页 页 脚 ,以 增加 Web 站 点 的 内 容 。 

(1) 创建 一 个 HTML 网 页 页 脚 文 件 ,并 把 它 保存 在 自己 的 Web 服务 器 所 在 的 硬 
溉 上 。 

(2) 在 Internet 服务 管理 器 的 控制 台 目 录 树 中 , 右 击 某 一 个 Web 站 点 或 者 目录 子 节 
点 ,例如 ,msadc 虚拟 目录 ,从 快捷 菜单 中 选择 “属性 ”命令 ,打开 “msadc( 停 止 ) 属 性 ”对 话 
框 ,选择 “文档 ”选项 卡 , 如 图 9. 16 所 示 。 

(3) 选择 “启用 文档 页 脚 " 复 选 框 ;在 “启用 文档 页 脚 "文本 框 中 输入 页 脚 文件 的 完整 
路 径 。 如 果 用 户 不 知道 页 脚 文件 的 完整 路 径 , 可 单 击 “浏览 ”按钮 ,打开 “打开 ”对 话 框 进行 
选择 。 

(4) 单 击 “ 确 定 ” 按 钮 ,返回 到 图 9. 16 所 示 的 对 话 框 ,再 单 击 “ 确 定 ” 按 钮 保存 设置 。 
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9.16 “文档 "选项 卡 


第 4 步 安全 与 权限 设置 。 

安全 与 权限 设置 是 IIS 保证 其 站 点 安全 的 最 重要 的 保护 措施 , 它 可 用 来 控制 怎样 验 
证 用 户 的 身份 及 他 们 的 访问 权限 。 

(1) 选择 “所 有 任务 ”>“ 权 限 向 导 ” 命 令 , 打 开 “ 权 限 向 导 ” 窗 口 。 单 击 “ 下 一 步 ” 按 钮 ， 
打开 “安全 设置 "页面, 如 图 9.17 所 示 。 


图 9.17 “安全 设置 ”页面 


(2) 如 果 要 从 父 站 点 或 者 虚拟 目录 继承 安全 性 设置 ,应 选择 “继承 所 有 的 安全 设置 ” 
单 选 按钮 ;如 果 需 要 选取 新 的 安全 性 设置 ,应 选择 “请 从 模板 选取 新 的 安全 设置 " 单 选 
按钮 。 

(3) 单 击 “ 下 一 步 " 按 钮 .打开 “Windows 目录 和 文件 权限 "页面 ,如 图 9.18 所 示 。 

(4) 如 果 要 保持 Windows 目录 和 文件 权限 ,应 选择 “保持 目录 和 文件 权限 ” 单 选 按 
钮 ;如 果 要 保持 原来 Windows 目录 和 文件 权限 并 加 入 新 设置 的 权限 ,应 选择 “原封 不 动 地 
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图 9.18 “Windows 目录 和 文件 权限 "页面 


保持 当前 的 目录 和 文件 许可 配置 ,并 加 入 推荐 的 许可 权限 ” 单 选 按 钮 。 这 里 选择 “推荐 : 
替换 全 部 的 目录 和 文件 访问 权限 ” 单 选 按 钮 ,以 新 设置 的 权限 替换 原 有 的 目录 和 文件 
权限 。 

(5) 单 击 “ 下 一 步 ”按钮 ,打开 如 图 9. 19 所 示 的 “安全 摘要 ”页 面 , 在 列表 框 中 选择 要 
应 用 的 设置 ,包括 验证 方法 ,访问 许可 \IP 地 址 限制 和 文件 ACL 将 不 能 被 修改 等 设置 。 
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sv a 
图 9.19 “安全 摘要 ”页 面 


(6) 单 击 “ 下 一 步 ” 按 钮 ,打开 “您 已 成 功 地 完成 IIS 5.0“ 权 限 向 导 ”” 窗 口 ,再 单 击 “ 完 
成 ”按钮 即 可 完成 设置 。 

第 5 步 安全 认证 。 

在 Windows Server 2003 中 ,对 于 通过 HTTP 协议 访问 ,Internet 信息 服务 提供 了 
3 种 登录 认证 方式 ,它们 分 别 是 匿名 方式 、 明 文 方式 和 询问 /应 答 方 式 。 用 户 采 用 哪 种 方 
式 取决 于 用 户 建立 Internet 信息 服务 器 的 目的 。 

由 于 在 许多 Internet 信息 服务 器 上 ,对 Web、FTP 及 SMTP 虚拟 服务 器 的 访问 都 是 
匿名 的 ,下 面 以 匿名 访问 为 例 介 绍 如 何 进行 安全 认证 设置 。 

(1) 在 如 图 9. 20 所 示 的 对 话 框 中 ,选择 "目录 安全 性 ”选项 卡 。 

(2) 在 “身份 验证 和 访问 控制 "选项 组 中 , 单 击 “ 编 辑 ” 按 钮 ,打开 “身份 验证 方法 ”对 话 


图 9.20 “目录 安全 性 "选项 卡 图 9.21 设置 匿名 访问 和 验证 控制 


(3) 要 选择 匿名 认证 方式 ,选中 “启用 匿名 访问 " 复 选 框 ,并 单 击 “ 浏 览 " 按 钮 ,打开 如 
图 9. 22 所 示 的 “选择 用 户 ” 对 话 框 进 行 设置 。 


和 连 扼 用 户 


图 9.22 设置 匿名 账号 


(4) 在 安装 Internet 信息 服务 时 ,系统 将 自动 创建 一 个 匿名 账号 : IUSR 计算 机 名 ， 
如 果 计 算 机 名 为 KC002, 则 匿名 账号 为 IUSR_KC002。 使 用 “IUSR 计算 机 名 ”账号 可 以 
将 Web 客户 登录 到 服务 器 上 。 人 允许 匿名 服务 时 ,管理 员 可 更 改 用 户 匿 名 请 求 的 用 户 账 
号 ,并 可 更 改 此 账号 的 密码 。 在 “用 户 名 ”文本 框 中 直接 输入 用 户 账号 名 ,或 者 单 击 “ 浏 览 ” 
按钮 ,打开 如 图 9. 23 所 示 的 “对 象 类 型 "对 话 框 ,在 此 选择 一 个 要 添加 的 用 户 账号 。 

(5) 在 “身份 验证 方法 "对话 框 中 ,在 “密码 ”文本 框 中 输入 用 户 的 密码 。 

(6) 单 击 “ 确 定 ” 按 钮 完成 匿名 访问 设置 ,直至 返回 “默认 网 站 属性 ”对 话 框 ,然后 单 
击 “ 确 定 "按钮 关闭 对 话 框 。 

第 6 步 IP 地 址 及 域名 限制 。 

通过 IP 地 址 及 域名 限制 ,用 户 可 禁止 某 些 特定 的 计算 机 或 者 某 些 区 域 中 的 主机 对 自 
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图 9.23 选择 Windows 用 户 账号 


己 的 Web 和 FTP 站 点 及 SMTP 虚拟 服务 器 的 访问 。 当 有 大 量 的 攻击 和 破坏 来 自 于 某 
些 地 址 或 者 某 个 子 网 时 ,使 用 这 种 限制 机 制 是 非常 有 用 的 。 不 过 ,进行 IP 地 址 及 域名 限 
制 的 首要 条 件 是 用 户 必 须知 道 网 络 黑客 的 计算 机 使 用 哪些 IP 地 址 或 属于 哪些 网 络 区 域 ， 
否则 无 法 进行 限制 。 对 基于 Internet 的 信息 服务 器 ,站 点 接受 来 自 于 各 方 的 访问 ,用 户 很 
难 进行 地 址 限制 。 一 般 , 只 有 基于 企业 内 部 网 络 的 信息 服务 器 才 使 用 IP 地 址 和 域名 进行 
安全 保护 。 下 面 以 Web 站 点 为 例 进 行 IP 地 址 和 域名 限制 的 设置 过 程 。 

(1) 在 图 9.20 中 ,在 “IP 地 址 和 域名 限制 ?选项 组 中 单 击 “编辑 按钮, 打开“ IP 地 址 
和 域名 限制 "对话 框 ,如 图 9.24 所 示 。 

(2) 如 果 选 择 “ 授 权 访问 ” 单 选 按钮 ,除了 “下 例 除外 ”列表 框 中 的 计算 机 外 ,其 他 所 有 
的 计算 机 都 可 访问 该 Web 站 点 上 的 内 容 。 如 果 选 择 “ 拒 绝 访问 ” 单 选 按钮 ,除了 “下 例 除 
外 ”列表 框 中 的 计算 机 外 ,其 他 所 有 的 计算 机 都 不 能 访问 该 Web 站 点 上 的 内 容 。 这 里 选 
择 “ 授 权 访问 " 单 选 按 钮 并 添加 没有 访问 权限 的 计算 机 。 

(3) 单 击 “ 添 加 ”按钮 ,打开 “拒绝 访问 ”对 话 框 ,如 图 9. 25 所 示 。 


IP 块 址 和 域名 限制 


图 9.24 设置 IP 地址 和 域名 限制 图 9.25 拒绝 访问 设置 


(4) 如 果 要 对 单个 计算 机 进行 限制 ,选择 “一 台 计 算 机 ” 单 选 按 钮 ,并 在 “IP 地 址 ?文本 
框 中 输入 要 授权 的 计算 机 的 IP 地 址 ;或 者 单 击 *DNS 查找 ?按钮 ,打开 ”DNS 查找 ”对 话 
框 ,选择 某 个 DNS 域 中 要 拒绝 的 计算 机 。 如 果 要 对 一 组 计算 机 进行 限制 ,选择 “一 组 计算 
机 ? 单 选 按钮 ,在 "网络 标识 ?文本 框 中 输入 要 授权 的 一 组 计算 机 中 的 任何 一 个 计算 机 的 
IP 地 址 ,并 在 “ 子 网 掩 码 ”" 文 本 框 中 输入 子 网 掩 码 。 如 果 要 对 菜 个 域 中 的 计算 机 进行 限 
制 ,选择 “域名 ” 单 选 按 钮 ,并 在 “域名 ”文本 框 中 输入 拒绝 的 域 的 域名 。 
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(5) 单 击 “ 确 定 ” 按 钮 返回 到 “IP 地 址 和 域名 限制 "对 话 框 。 如 果 还 要 进行 访问 授权 ， 
可 继续 单 击 “添加 ?按钮 进行 添加 。 这 样 ,被 添加 的 单个 计算 机 、 一 组 计算 机 或 者 一 个 域 的 
客户 被 拒绝 访问 服务 器 ,而 其 他 的 客户 则 有 访问 权 。 

(6) 单 击 “ 确 定 ?按钮 返回 到 “默认 网 站 属性 ”对 话 框 ,再 单 击 “ 确 定 ” 按 钮 保存 设置 。 

第 7 步 停止 .启动 和 暂停 站 点 服务 。 

在 站 点 维护 中 ,停止 ,启动 和 暂停 站 点 服务 是 经 常 要 进行 的 工作 。 例 如 , 当 某 个 站 点 
的 内 容 和 设置 需要 进行 比较 大 的 修改 时 ,用 户 可 将 该 站 点 的 服务 停止 或 者 暂停 ,以 便 操 
作 。 当 已 经 停止 或 暂停 的 站 点 需要 启动 自己 的 服务 时 ,就 启动 它 。 

要 停止 .启动 和 暂停 某 个 站 点 的 信息 服务 ,在 控制 台 目 录 树 中 ,展开 “Internet 信息 
服务 ”节点 和 服务 器 节点 ,展开 服务 器 节点 。 如 果 要 暂停 某 个 Web 或 者 FTP 站 点 服 
务 , 右 击 该 站 点 ,从 快捷 菜单 中 选择 “暂停 命令 即 可 ;如 果 要 停止 某 个 Web 或 者 FTP 
站 点 服务 , 右 击 该 站 点 ,从 快捷 菜单 中 选择 “停止 "命令 即 可 ;如 果 要 启动 某 个 已 经 暂停 
或 者 停止 的 Web 或 者 FTP 站 点 服务 , 右 击 该 站 点 ,从 快捷 菜单 中 选择 “启动 "命令 
即 可 。 


本 章 小 结 


Web 是 Internet 上 发 展 最 快 同时 又 是 使 用 最 多 的 一 项 服务 , 它 可 以 提供 包括 文本 、 
图 形 、 声 音 和 视频 等 在 内 的 多 媒体 信息 。 

Web 的 安全 有 很 多 因素 需要 考虑 ,如 Web 服务 器 的 安全 ,Web 服务 器 所 在 的 网 络 安 
全 ,Web 浏览 器 的 用 户 的 安全 风险 等 。 


本 章 练 习 


一 、 填 空 题 


1. WWW 服务 采用 客户 机 /服务 器 工作 模式 , 它 以 与 超 文本 传输 协议 为 基 
础 ,为 用 户 提 供 界面 一 致 的 信息 浏览 系统 。 
2. HTTP 协议 是 分 布 式 的 Web 应 用 的 核心 技术 协议 ,在 TCP/IP 协议 栈 中 属于 
层 协议 。 
3. 目前 常用 的 Web 浏览 器 主要 有 和 两 种 。 


4. Web 浏览 器 的 不 安全 因素 主要 来 自 。 
5. Web 欺骗 攻击 是 指 。 


~、 选 择 题 


1. 在 访问 Internet 的 过 程 中 ,为 了 防止 Web 页 面 中 恶意 代码 对 自己 计算 机 的 损害 ， 
可 以 采取 防范 措施 。 
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A. 利用 SSL 访问 Web 站 点 
B. 将 要 访问 的 Web 站 点 按 其 可 信和 度 分 配 到 浏览 器 的 不 同安 全 区 域 
C. 在 浏览 器 中 安装 数字 证 书 
D. 要 求 Web 站 点 安装 数字 证 书 
2. 统一 的 安全 电子 政务 平台 包括 统一 的 可 信 Web 服务 平台 统一 的 Web 门户 平台 
与 统一 的 四 
A. 数据 交换 平台 B. 电视 会 议 平台 
C. 语音 通信 平台 D. 电子 邮件 平台 
三 、 简 答题 
.Web 服务 器 的 安全 需求 有 哪些 ? 
.Web 浏览 器 的 安全 需求 有 哪些 ? 
. 简 述 Web 服务 器 的 安全 策略 。 
.如 何 进 行 服务 器 的 安全 配置 ? 


> wD 


实 训 IE 浏览 器 的 安全 设置 


实 训 目 的 


(1) 了 解 IE 浏览 器 的 基本 功能 。 
(2) 掌握 提高 IE 浏览 器 安全 性 的 设置 方法 。 


实 训 环境 


(1) 一 台 连 上 Internet 的 计算 机 。 
(2) IE 8.0 浏览 器 。 


实 训 步 又 


第 1 步 IE 浏览 器 安全 性 的 设置 。 

有 很 多 针对 IE 浏览 器 的 病毒 都 是 通过 在 网 页 中 使 用 恶意 脚本 程序 来 运行 的 ,只 需要 
禁止 在 浏览 器 中 执行 这 些 脚 本 就 可 以 达到 防 患 于 未 然 的 目的 。 

在 下 浏览 器 中 选择 “工具 ”>“Internet 选项 "命令 打开 “Internet 属性 对话 框 ,打开 
“安全 ”选项 卡 ,如 图 9. 26 所 示 。 

单 击 “ 自 定义 级 别 ” 按 钮 ,弹出 “安全 设置 -Internet 区 域 ” 对 话 框 ,如 图 9. 27 所 示 。 将 
“脚本 ”选项 中 的 “Java 小 程序 脚本 ”和 “活动 脚本 ”都 设置 成 “禁用 ”, 以 便 以 后 上 网 浏览 时 
不 必 担 心 脚本 类 病毒 。 不 过 ,这 也 使 得 正常 网 页 中 所 有 通过 脚本 实现 的 网 页 特殊 效果 也 
全 部 被 禁用 。 
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选择 要 查看 的 区 域 或 更 以 安全 设置 。 
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确定 _] 取消 应 用 必 
图 9.26 “安全 ”选项 卡 图 9.27 “安全 设置 -Internet” 对 话 框 


第 2 步 清除 IE 操作 的 痕迹 。 

在 用 户 上 网 冲浪 时 ,IE 会 自动 产生 一 些 临时 文件 ,垃圾 文件 和 记录 一 些 信 息 ,在 很 多 
情况 下 这 些 痕迹 也 能 暴露 用 户 隐私 信息 。 

(1) 删除 Internet 临时 文件 

选择 IE 上 “工具 ”>“Internet 选项 *, 打开 *Internet 选项 ”对 话 框 的 “常规 ”选项 卡 ， 
单 击 “ 删 除 ” 按 钮 。 在 弹出 的 “删除 浏览 的 历史 记录 ”对 话 框 中 选中 “Internet 临时 文件 " 复 
选 框 , 单 击 “ 删 除 ” 按 钮 ,如 图 9. 28 所 示 。 


副 除 浏览 的 历史 记录 


口 保留 收 若 赤 网 站 数据 @E) 
银 风 条 下 雪 Cookie 和 Internet 临时 文件 ， 以 保留 


> 由 本， 以便 快速 查看 。 


Dcookie (0) 
网 站 存储 在 计算 机 上 的 文件 ， 以 保存 如 登录 信息 等 首选 项 。 


口 历 史记 录 0D 
已 访问 网 站 的 列表 。 


口 表单 数据 ED) 
保存 在 表单 中 键入 的 信息 。 


口 埋 虽 本 
等 录 凡 访问 过 的 网 站 时 ， 自 动 填充 保存 的 窑 码 。 


口 InPrivate 和 范 选 数据 
Inprivate 征 选 使 用 已 保存 数据 检测 网 站 在 何 处 自动 共享 您 访问 
的 详细 信息 。 


ET | 


图 9.28 “删除 文件 ”对 话 框 
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(2) 清除 IE 的 历史 记录 

打开 “Internet 选项 ”对 话 框 ,选择 IE 上 “工具 ”>“Internet 选项 *, 打 开 “Internet 选 
项 ”对 话 框 的 “常规 ”选项 卡 , 单 击 “ 删 除 ” 按 钮 ,在 弹出 的 “删除 浏览 的 历史 记录 ”对 话 框 中 
选中 “历史 记录 ” 复 选 框 , 单 击 “ 删 除 ” 按 钮 。 

(3) 清除 访问 过 的 网 站 地 址 

在 “Internet 选项 ”对 话 框 中 选择 内容 ”选项 卡 , 单 击 “ 设 置 " 按 钮 ,如 图 9. 29 所 示 。 
然后 ,在 弹出 “自动 完成 设置 "对 话 框 中 不 勾 选 “ 地 址 栏 " 复 选 框 ,如 图 9. 30 所 示 。 这 样 就 
无 法 通过 使 用 部 分 地 址 匹配 的 方法 打开 曾经 访问 过 的 Web 站 点 。 
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医 风光. 源 包 ) 


使 用 由 ndows 搜索 获得 更 好 的 结果 员 ) 
口 表单 全 
口 表单 上 的 用 户 名 和 密码 呈 ) 
刁 ] 在 保存 完 码 之 前 询问 我 S) 


图 9.29 “内 容 " 选 项 卡 图 9.30 “自动 完成 设置 “对 话 框 


(4) 清除 下 记 住 的 表单 的 密码 和 表单 

打开 “Internet 选项 ?对 话 框 的 “常规 ?选项 卡 , 单 击 “删除 ?按钮 ,然后 在 弹出 的 “删除 
浏览 的 历史 记录 ”对 话 框 中 选中 “表单 数据 "和 “密码 " 复 选 框 ,“ 删 除 ” 按 钮 确认 ,如 图 9. 31 
所 示 。 

第 3 步 禁用 Cookie。 

Cookie 是 一 种 发 送 到 客户 浏览 器 的 文本 串 名 栖 , 并 保存 在 客户 机 硬盘 上 ,很 容易 暴 
露 用 户 信息 ,会 给 自己 带 来 安全 隐患 。 通 过 以 下 操作 可 以 禁用 Cookie。 

选择 “工具 ”>“Internet 内 容 ” 命 令 ,选择 “安全 "选项 卡 , 如 图 9. 26 所 示 。 在 “选择 要 
查看 的 区 域 或 更 改 安全 设置 ?列表 框 中 选择 Internet 图 标 。 然 后 , 单 击 对 话 框 中 的 “ 自 定 
义 级 别 ” 按 钮 ,打开 “安全 设置 -Internet 区 域 ? 对 话 框 , 在 “设置 ?选项 组 中 ,把 “人 允许 使 用 存 
储 在 计算 机 上 的 Cookie” 和 “允许 使 用 每 个 对 话 Cookie” 这 两 个 选项 分 别 设 为 “禁用 ”"。 用 
同样 的 方法 ,在 “安全 ”选项 卡 的 “本 地 Internet”、“ 可 信 站 点” 和“ 受 限 站 点 ”图 标 ,并 分 别 
禁止 在 这 些 站 点 使 用 Cookie。 以 后 系统 碰 到 有 Cookie 请 求 时 一 律 加 以 拒绝 。 


oe evel | Re 


副 除 浏览 的 历史 记录 
口 保留 收 豪 夫 网 站 数据 (8) 


四 和 Cookie 和 Internet 临时 文件 ,以 保留 


加 Internet 临时 文件 
保存 网 页 、 图 像 和 媒体 的 副本 ， 以 便 快速 查看 。 


Dcookie 
网 站 存储 在 计算 机 上 的 文件 ， 以 保存 如 登录 信息 等 首选 项 。 
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口才 品 
警 录 以 前 访问 过 的 网 站 时 ， 自 动 填充 保存 的 密码 。 
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图 9.31 清除 表单 对 话 框 
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